AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Grave vulnerabilidad de path traversal en FortiWeb permite la creación de usuarios administrativos sin autenticación**

admin

### Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido alertada sobre la explotación activa de una vulnerabilidad crítica de path traversal en dispositivos Fortinet FortiWeb. Esta debilidad, identificada como CVE-2024-36460, permite a actores maliciosos crear cuentas administrativas sin necesidad de autenticación, exponiendo a organizaciones de todo el mundo a riesgos severos de compromiso total de sus sistemas de gestión de aplicaciones web. El presente análisis profundiza en los aspectos técnicos, el alcance del problema y las recomendaciones para mitigar este vector de ataque.

### Contexto del Incidente o Vulnerabilidad

FortiWeb es la solución WAF (Web Application Firewall) de Fortinet, ampliamente adoptada por empresas para proteger aplicaciones web de amenazas conocidas y emergentes. Sin embargo, la vulnerabilidad CVE-2024-36460 ha puesto en jaque la confianza en el producto, ya que permite a atacantes no autenticados manipular rutas del sistema y acceder a funciones restringidas, como la creación de nuevos usuarios con privilegios elevados.

El incidente cobró relevancia cuando analistas de seguridad de múltiples SOC (Security Operations Center) detectaron un incremento significativo en intentos de explotación dirigidos a dispositivos FortiWeb expuestos en internet. Según datos de Shodan, más de 4.500 instancias de FortiWeb están potencialmente expuestas, principalmente en entornos empresariales y organismos públicos de Europa y Norteamérica.

### Detalles Técnicos: CVE, Vectores de Ataque y TTP

**Identificador:** CVE-2024-36460
**Puntuación CVSS:** 9.8 (Crítica)
**Dispositivos afectados:**
– FortiWeb versiones 7.2.0 a 7.2.2
– FortiWeb versiones 7.0.0 a 7.0.7
– Versiones anteriores a 6.4.7

**Descripción técnica:**
El fallo reside en un insuficiente saneamiento de las rutas de archivo (path traversal) en la interfaz web de administración. Utilizando secuencias como `../`, un atacante remoto puede acceder a rutas fuera del directorio previsto por la aplicación.

**TTP MITRE ATT&CK relevantes:**
– T1190: Exploit Public-Facing Application
– T1136: Create Account
– T1078: Valid Accounts

**Vectores de ataque:**
El atacante envía una petición HTTP/S manipulada directamente al endpoint vulnerable, insertando rutas de directorio arbitrarias en los parámetros de la solicitud. Una vez conseguido el path traversal, el atacante invoca funciones administrativas para crear un nuevo usuario con privilegios de superadministrador. No se requiere autenticación previa ni interacción con el usuario legítimo.

**Herramientas y exploits conocidos:**
Pocos días después de la divulgación pública, se identificaron módulos en frameworks como Metasploit y PoC en repositorios de GitHub, facilitando la automatización del ataque. Además, se ha observado el uso de scripts personalizados en Python y Bash, así como la integración de la vulnerabilidad en botnets para escaneo y explotación masiva.

**Indicadores de Compromiso (IoC):**
– Nuevos usuarios administrativos no reconocidos en el sistema
– Accesos inusuales desde direcciones IP externas
– Modificaciones sospechosas en archivos de configuración
– Rastros de peticiones HTTP/S con patrones de path traversal (`../`)

### Impacto y Riesgos

El impacto potencial de esta vulnerabilidad es crítico:

– **Compromiso total de la plataforma FortiWeb:** Un atacante puede obtener control total del dispositivo, modificar la configuración, desactivar políticas de seguridad y acceder a datos sensibles protegidos.
– **Persistencia y movimientos laterales:** El acceso administrativo permite la instalación de puertas traseras (backdoors) y la pivotación hacia otros activos internos.
– **Riesgo de ransomware y exfiltración:** Dispositivos comprometidos pueden convertirse en puntos de entrada para ataques de ransomware o robo de información, afectando la confidencialidad, integridad y disponibilidad de los servicios web protegidos.
– **Incumplimiento normativo:** Organizaciones sujetas a GDPR, NIS2 y otras regulaciones pueden enfrentarse a sanciones por exposición de datos personales o falta de controles adecuados.

Según estimaciones de la industria, al menos un 8% de las instancias expuestas ya muestran signos de explotación, lo que representa un riesgo económico potencial de millones de euros en pérdidas por interrupción de servicio, costes forenses y sanciones regulatorias.

### Medidas de Mitigación y Recomendaciones

Fortinet ha publicado actualizaciones de seguridad para corregir la vulnerabilidad en las versiones afectadas. Se recomienda, de manera prioritaria:

– **Actualizar inmediatamente:** Instalar los parches correspondientes a la versión utilizada.
– **Deshabilitar la gestión remota:** Restringir el acceso a la consola de administración sólo a redes internas o a través de VPN.
– **Auditoría de cuentas:** Revisar la existencia de usuarios administrativos no autorizados y eliminar cualquier cuenta sospechosa.
– **Fortalecer la monitorización:** Implementar alertas de acceso anómalo y revisar los logs de administración regularmente.
– **Segmentar y aislar:** Limitar la exposición del dispositivo mediante firewalls y segmentación de red.

### Opinión de Expertos

Especialistas del sector, como el equipo de Rapid7 y analistas de SANS Institute, coinciden en que la rapidez y la amplitud de la explotación demuestran la importancia de la gestión proactiva de vulnerabilidades en dispositivos de perímetro. “El hecho de que la vulnerabilidad permita la creación de usuarios sin autenticación eleva el riesgo a niveles extremos, ya que elimina cualquier barrera inicial de acceso”, señala Carlos Sánchez, CISO de una multinacional europea.

### Implicaciones para Empresas y Usuarios

Para las empresas, el incidente es un recordatorio de la criticidad de aplicar parches en soluciones de seguridad perimetral y de limitar la exposición de interfaces administrativas. Un compromiso de FortiWeb puede derivar en la caída de servicios web, robo de datos y daños reputacionales severos. Los usuarios finales pueden verse afectados indirectamente por interrupciones de servicios o filtraciones de información personal.

### Conclusiones

La explotación activa de CVE-2024-36460 en FortiWeb representa una amenaza significativa para organizaciones que dependen de este WAF para proteger sus activos críticos. Es imperativo actuar con urgencia, aplicar las actualizaciones y reforzar las medidas de acceso y monitorización. La gestión diligente de vulnerabilidades y la segmentación de servicios expuestos siguen siendo líneas de defensa fundamentales ante ataques cada vez más automatizados y sofisticados.

(Fuente: www.bleepingcomputer.com)