Resumen Ejecutivo
■ Contexto: Fortinet ha lanzado el día de ayer, una nueva ronda de parches de seguridad, considerada como de emergencia, para una grave falla de seguridad que afecta a su producto FortiOS SSL-VPN que, según dijo, está siendo explotado activamente en la red, por parte de diferentes actores de amenazas.
■ Descripción: La falla de seguridad rastreada como CVE-2022-42475 (cuya puntuación CVSS es de 9.3/10), es un error crítico que se relaciona con una vulnerabilidad de desbordamiento de búfer, que podría permitir a un atacante no autenticado ejecutar código arbitrario a través de solicitudes especialmente diseñadas.
La compañía dijo que está «al tanto de una instancia en la que esta vulnerabilidad fue explotada en la naturaleza«, instando a los clientes a moverse rápidamente para aplicar las actualizaciones.
■ Lista de Productos Vulnerables:
- FortiOS versión 7.2.0 a 7.2.2
- FortiOS versión 7.0.0 a 7.0.8
- FortiOS versión 6.4.0 a 6.4.10
- FortiOS versión 6.2.0 a 6.2.11
- FortiOS versión 6.0.0 a 6.0.15
- FortiOS versión 5.6.0 a 5.6.14
- FortiOS versión 5.4.0 a 5.4.13
- FortiOS versión 5.2.0 a 5.2.15
- FortiOS versión 5.0.0 a 5.0.14
- FortiOS-6K7K versión 7.0.0 a 7.0.7
- FortiOS-6K7K versión 6.4.0 a 6.4.9
- FortiOS-6K7K versión 6.2.0 a 6.2.11
- FortiOS-6K7K versión 6.0.0 a 6.0.14
■ Puntuación CVSS: 9.3/10
■ Mitigación: Aplicar los parches que ya se encuentran disponibles, en las versiones 7.2.3, 7.0.9, 6.4.11 y 6.2.12 de FortiOS-6K7K, así como en las versiones 7.0.8, 6.4.10, 6.2.12 y 6.0.15 de FortiOS-6K7K.
La compañía estadounidense de seguridad también ha publicado una lista de indicadores de compromiso (IoCs) asociados con los intentos de explotación, incluidas las direcciones IP y los artefactos que están presentes en el sistema de archivos después de un ataque exitoso. Las cuales se presentan a continuación.
■ IOCs (Fortiguard):
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 192.36.119.61:8443,444
- 172.247.168.153:8033
Presencia de los siguientes «artefactos» en el sistema de archivos:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.