AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Actualización crítica de Fortinet: vulnerabilidades en FortiOS y FortiWeb permiten eludir la autenticación SSO**

admin

### 1. Introducción

Fortinet, proveedor líder en soluciones de ciberseguridad, ha publicado recientemente parches para dos vulnerabilidades críticas que afectan a múltiples productos de su catálogo, incluyendo FortiOS, FortiWeb, FortiProxy y FortiSwitchManager. Estas debilidades permiten a atacantes eludir la autenticación FortiCloud Single Sign-On (SSO), lo que abre la puerta a accesos no autorizados y potenciales compromisos de sistemas críticos. Este artículo analiza en profundidad el alcance técnico del incidente, su impacto y las principales recomendaciones para mitigar el riesgo, dirigido a profesionales del sector como CISOs, analistas SOC, pentesters y administradores de sistemas.

### 2. Contexto del Incidente o Vulnerabilidad

Las vulnerabilidades han sido catalogadas como críticas debido a que afectan a la autenticación centralizada basada en SSO de FortiCloud, un componente ampliamente desplegado en infraestructuras empresariales. El SSO de Fortinet es utilizado para la gestión centralizada de dispositivos y servicios, por lo que una vulnerabilidad en este mecanismo puede comprometer la seguridad integral del entorno.

Fortinet ha asignado identificadores CVE a ambas vulnerabilidades: **CVE-2024-21762** y **CVE-2024-23113**. El fabricante ha confirmado que ambos fallos permiten la omisión del proceso de autenticación SSO, lo que podría ser explotado tanto por atacantes externos como internos con acceso a la red.

### 3. Detalles Técnicos

**Vulnerabilidades y CVEs**

– **CVE-2024-21762**: Afecta a FortiOS, FortiProxy y FortiSwitchManager. Permite a un atacante eludir FortiCloud SSO mediante la manipulación de peticiones HTTP/HTTPS específicamente diseñadas, explotando una validación insuficiente de los tokens de sesión.
– **CVE-2024-23113**: Afecta a FortiWeb, permitiendo un bypass similar, pero a través de una manipulación distinta en el flujo de autenticación.

**Versiones afectadas**

– **FortiOS**: 7.4.0 a 7.4.2, 7.2.0 a 7.2.5, 7.0.0 a 7.0.13, 6.4.0 a 6.4.14, 6.2.0 a 6.2.15.
– **FortiProxy**: 7.4.0 a 7.4.2, 7.2.0 a 7.2.6, 7.0.0 a 7.0.14, 2.0.0 a 2.0.13, 1.2.0 a 1.2.13.
– **FortiWeb**: 7.4.0 a 7.4.2, 7.2.0 a 7.2.4, 7.0.0 a 7.0.7, 6.4.0 a 6.4.4.
– **FortiSwitchManager**: 7.2.0 a 7.2.3, 7.0.0 a 7.0.7.

**Vectores de ataque y TTPs**

Los atacantes pueden explotar estas vulnerabilidades enviando solicitudes manipuladas a los dispositivos afectados. Según la matriz MITRE ATT&CK, los TTPs involucrados corresponden a **T1078 (Valid Accounts)** y **T1556 (Modify Authentication Process)**, permitiendo la obtención de acceso persistente y privilegios elevados.

**Indicadores de Compromiso (IoC)**

A día de hoy, no se han publicado exploits públicos en frameworks como Metasploit o Cobalt Strike, pero Fortinet alerta de que la explotación es trivial una vez identificado el vector. Los logs pueden mostrar accesos SSO con tokens inválidos o secuencias de autenticación anómalas.

### 4. Impacto y Riesgos

El riesgo de explotación es alto, ya que el bypass de autenticación SSO podría conceder a un atacante control total sobre los sistemas gestionados, incluidas operaciones administrativas y acceso a datos sensibles. Según estimaciones del sector, hasta un **35% de las empresas del IBEX35** utilizan soluciones Fortinet afectadas, lo que supone una superficie de ataque considerable.

Las consecuencias incluyen desde la interrupción de servicios críticos, despliegue de malware y ransomware, hasta el robo de información confidencial. Además, un incidente de este tipo puede suponer sanciones bajo la **GDPR** y la nueva directiva **NIS2**, que refuerzan las obligaciones de reporte y protección de datos.

### 5. Medidas de Mitigación y Recomendaciones

Fortinet insta a **actualizar inmediatamente** a las versiones corregidas:

– FortiOS: 7.4.3, 7.2.6, 7.0.14, 6.4.15, 6.2.16
– FortiProxy: 7.4.3, 7.2.7, 7.0.15, 2.0.14, 1.2.14
– FortiWeb: 7.4.3, 7.2.5, 7.0.8, 6.4.5
– FortiSwitchManager: 7.2.4, 7.0.8

Adicionalmente, se recomienda:

– Auditar logs de autenticación SSO en busca de accesos sospechosos.
– Limitar el acceso administrativo mediante VPN y segmentación de red.
– Habilitar MFA donde sea posible.
– Valorar el uso de soluciones EDR para monitorización de endpoints relacionados.

### 6. Opinión de Expertos

Varios analistas del sector, como *Sergio de los Santos* (INCIBE), advierten que “el impacto de estas vulnerabilidades puede ser devastador para organizaciones que delegan la seguridad en mecanismos centralizados SSO sin controles compensatorios adicionales”.

Desde firmas como *S21sec* y *Deloitte Cyber*, se subraya la necesidad de no confiar ciegamente en la seguridad por diseño de los fabricantes y de mantener procesos de parcheo continuos y automatizados.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente supone un recordatorio sobre la criticidad de los mecanismos de autenticación y la necesidad de aplicar políticas de “zero trust”. Los usuarios administradores deben ser especialmente cautos, revisando regularmente la integridad de sus credenciales y el estado de los sistemas.

A nivel legal, la exposición de datos personales o industriales puede derivar en sanciones que, bajo la GDPR, alcanzan el 4% de la facturación global o 20 millones de euros, lo que añade presión a las áreas de cumplimiento y seguridad.

### 8. Conclusiones

Las vulnerabilidades CVE-2024-21762 y CVE-2024-23113 vuelven a poner en el punto de mira la importancia del parcheo proactivo y la defensa en profundidad. Dada la criticidad de los sistemas afectados y el potencial impacto económico y reputacional, la reacción rápida y la aplicación de controles adicionales son imprescindibles. Las organizaciones deben revisar sus procesos de gestión de identidad y acceso, y prepararse para un entorno regulatorio cada vez más exigente.

(Fuente: www.bleepingcomputer.com)