**Cibercriminales aprovechan un bypass de parche en FortiGate para comprometer cortafuegos actualizados**
—
### 1. Introducción
En las últimas semanas, los equipos de ciberseguridad han encendido las alarmas tras detectarse ataques activos contra cortafuegos FortiGate, incluso en dispositivos que ya contaban con parches aplicados. Los atacantes están explotando una vulnerabilidad crítica de autenticación, CVE-2024-59718, mediante un bypass del parche inicialmente publicado por Fortinet. Esta situación subraya la importancia de monitorizar no solo la aplicación de parches sino también la evolución de las amenazas y la eficacia real de las soluciones de seguridad desplegadas.
—
### 2. Contexto del Incidente o Vulnerabilidad
Fortinet, uno de los principales proveedores de soluciones de ciberseguridad a nivel global, emitió en junio de 2024 un parche para corregir una vulnerabilidad crítica de autenticación en sus dispositivos FortiGate (CVE-2024-27997), que permitía la ejecución remota de código sin autenticación a través de la interfaz SSL VPN. Sin embargo, investigadores han reportado que el parche presentado era susceptible de ser evadido, lo que dio lugar a una nueva vulnerabilidad registrada como CVE-2024-59718.
Las primeras señales de explotación activa fueron detectadas por analistas de amenazas y equipos SOC en todo el mundo, con informes de intrusiones incluso en organizaciones que habían aplicado rigurosamente los parches recomendados por Fortinet. Este escenario ha puesto de manifiesto la necesidad de estrategias de defensa en profundidad y de una gestión de vulnerabilidades mucho más proactiva.
—
### 3. Detalles Técnicos
**Identificador CVE:** CVE-2024-59718
**Vector de ataque:** Explotación remota a través de la interfaz SSL VPN
**TTPs asociadas (MITRE ATT&CK):** T1190 (Exploitation of Remote Services), T1078 (Valid Accounts), T1021.001 (Remote Services: Remote Desktop Protocol)
El bypass consiste en la manipulación de parámetros específicos en las solicitudes HTTPS enviadas a la interfaz SSL VPN de FortiGate. Los atacantes aprovechan la lógica insuficiente en la validación de autenticación implementada en el parche original, permitiendo así eludir los controles y obtener acceso no autorizado al sistema subyacente.
**Versiones afectadas:**
– FortiOS 7.0.0 a 7.0.11
– FortiOS 7.2.0 a 7.2.5
– FortiOS 6.4.0 a 6.4.13
**IoCs conocidos:**
– Solicitudes HTTPS inusuales a la ruta `/remote/login`
– Cargas de comandos en payloads cifrados
– Acceso no autorizado a paneles de administración
**Herramientas y frameworks utilizados por los atacantes:**
– Exploits a medida difundidos en foros underground y repositorios públicos
– Uso de Metasploit y Cobalt Strike para el movimiento lateral y persistencia tras la explotación inicial
—
### 4. Impacto y Riesgos
El impacto potencial de la explotación de CVE-2024-59718 es elevado. Permite a los atacantes ejecutar código arbitrario con privilegios elevados, facilitando el compromiso total del perímetro de la organización. Entre los riesgos identificados se incluyen:
– Exfiltración de credenciales y datos sensibles
– Acceso persistente a redes corporativas
– Despliegue de ransomware y troyanos bancarios
– Interrupción de servicios críticos
Estudios recientes estiman que hasta un 30% de los dispositivos FortiGate expuestos públicamente permanecen vulnerables, bien por no haber aplicado los parches actualizados o por la existencia de implementaciones de mitigaciones insuficientes.
—
### 5. Medidas de Mitigación y Recomendaciones
Fortinet ha publicado una actualización de emergencia que corrige la lógica de autenticación e impide el bypass. Se recomienda:
– Aplicar inmediatamente el parche actualizado disponible en el portal oficial de Fortinet
– Deshabilitar temporalmente la interfaz SSL VPN si no es imprescindible
– Revisar logs de acceso y analizar anomalías en las rutas `/remote/login` y `/remote/hostcheck_validate`
– Implementar reglas IDS/IPS específicas para detectar patrones de explotación conocidos
– Restringir el acceso externo a la administración de los cortafuegos mediante whitelisting de IPs
Las organizaciones sujetas a la normativa GDPR y NIS2 deben, además, notificar los incidentes de seguridad significativos a las autoridades competentes en un plazo de 72 horas.
—
### 6. Opinión de Expertos
Expertos como Kevin Beaumont y el equipo de Rapid7 advierten que la rapidez con la que los actores de amenazas han desarrollado y puesto en circulación exploits para este bypass es un claro indicativo del interés estratégico de los cortafuegos perimetrales como vector de entrada. Desde el CERT-EU y el CCN-CERT español, se incide en la importancia de monitorizar activamente las interfaces públicas, así como de implementar políticas de segmentación y gestión de privilegios para limitar el alcance de posibles intrusiones.
—
### 7. Implicaciones para Empresas y Usuarios
Para las empresas, este incidente representa un recordatorio contundente sobre la criticidad de los dispositivos perimetrales y la importancia de mantener una política de actualización y monitorización continua. El fracaso de un parche puede exponer a organizaciones a brechas de datos, sanciones regulatorias y pérdidas económicas significativas. Los usuarios finales, especialmente en entornos de teletrabajo, deben ser informados sobre los riesgos asociados a conexiones VPN y seguir las directrices de seguridad corporativas.
—
### 8. Conclusiones
La explotación activa de CVE-2024-59718 y su bypass de parche demuestran que la gestión de vulnerabilidades es un proceso dinámico y que requiere una vigilancia constante. La confianza ciega en los parches debe dar paso a una cultura de defensa en profundidad, pruebas de validación y colaboración estrecha con los fabricantes y la comunidad de ciberseguridad. Ante este tipo de amenazas, la anticipación y la resiliencia operativa se convierten en elementos clave para la protección de los activos críticos.
(Fuente: www.bleepingcomputer.com)