AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Fortinet confirma explotación activa de vulnerabilidad crítica de autenticación SSO en FortiCloud (CVE-2024-24858)

admin

#### Introducción

Fortinet ha reconocido oficialmente la existencia y explotación activa de una vulnerabilidad crítica de autenticación en FortiCloud que afecta al mecanismo de Single Sign-On (SSO). Identificada como CVE-2024-24858, esta vulnerabilidad ha sido objeto de ataques de día cero, obligando al fabricante a tomar medidas inmediatas para mitigar el riesgo. El incidente subraya una vez más la importancia de una gestión proactiva y actualizada de las plataformas de acceso y autenticación en infraestructuras empresariales.

#### Contexto del Incidente o Vulnerabilidad

El fallo de seguridad afecta directamente a FortiCloud, la plataforma en la nube de Fortinet destinada a la gestión centralizada y securización de dispositivos y servicios de la marca. FortiCloud es ampliamente utilizada por organizaciones para la administración de firewalls, puntos de acceso, switches y otros dispositivos de seguridad. La vulnerabilidad reside en el proceso de autenticación SSO, permitiendo a los atacantes eludir los controles de acceso establecidos e iniciar sesión en cuentas protegidas.

La explotación de CVE-2024-24858 ha sido confirmada en entornos reales, lo que ha llevado a Fortinet a bloquear las conexiones SSO provenientes de dispositivos con versiones de firmware afectadas. El incidente se produce en un contexto de creciente sofisticación de las campañas de ataque dirigidas a infraestructuras cloud y servicios de gestión remota.

#### Detalles Técnicos

CVE-2024-24858 ha sido calificada con una puntuación CVSS crítica, reflejando el potencial de compromiso total de los sistemas afectados. La vulnerabilidad permite a un atacante remoto, no autenticado, evadir los mecanismos de autenticación SSO de FortiCloud y obtener acceso no autorizado a recursos gestionados en la plataforma.

– **Versiones afectadas**: Según Fortinet, todas las versiones de firmware anteriores a la última actualización de seguridad están potencialmente expuestas. Se recomienda consultar el aviso oficial para comprobar la versión específica de cada dispositivo.
– **Vector de ataque**: El atacante puede explotar la vulnerabilidad a través de peticiones maliciosas dirigidas al endpoint de autenticación SSO, manipulando los tokens de sesión o los flujos de login.
– **TTPs (MITRE ATT&CK)**: El ataque se alinea con las técnicas de “Valid Accounts” (T1078) y “Exploitation for Privilege Escalation” (T1068), facilitando tanto el acceso inicial como la elevación de privilegios dentro de los sistemas afectados.
– **IoCs**: Hasta el momento, se han detectado logs de acceso inusuales, intentos de autenticación desde direcciones IP desconocidas y la creación de sesiones SSO fuera de los patrones habituales como principales Indicadores de Compromiso.
– **Herramientas y exploits**: Aunque no se ha publicado un exploit público, los investigadores advierten que frameworks como Metasploit podrían incorporar módulos para su explotación en breve, dada la relevancia del fallo.

#### Impacto y Riesgos

El impacto potencial de este fallo es considerable, ya que permite la evasión completa de la autenticación y la toma de control del entorno gestionado en la nube. Los riesgos más destacados incluyen:

– Acceso no autorizado a datos sensibles y configuraciones de seguridad.
– Posibilidad de desactivar controles de firewall, modificar reglas o desplegar configuraciones maliciosas.
– Escalado lateral a otros sistemas gestionados a través de FortiCloud.
– Incumplimiento de normativas como GDPR y NIS2 debido a la exposición de datos personales y confidenciales.
– Daños reputacionales y económicos, especialmente en sectores críticos que dependen de la disponibilidad y confidencialidad de sus infraestructuras.

Se estima que miles de organizaciones a nivel global podrían estar expuestas, especialmente aquellas que no han aplicado las últimas actualizaciones de firmware.

#### Medidas de Mitigación y Recomendaciones

Fortinet ha implementado el bloqueo temporal de conexiones SSO desde dispositivos con firmware vulnerable como medida de contención inicial. Se recomienda a los equipos de seguridad:

1. **Actualizar inmediatamente** los dispositivos a la última versión de firmware disponible.
2. **Monitorizar logs de acceso** y detectar patrones anómalos relacionados con SSO.
3. **Revocar sesiones activas** y forzar el cambio de credenciales para todos los usuarios con acceso a FortiCloud.
4. **Deshabilitar el acceso SSO** si no es estrictamente necesario hasta confirmar que no existen indicios de compromiso.
5. **Implementar MFA** (autenticación multifactor) para todas las cuentas de administración.
6. **Revisar configuraciones de red** para restringir el acceso a la consola de administración desde ubicaciones no autorizadas.

#### Opinión de Expertos

Analistas de ciberseguridad destacan la gravedad del incidente y la rapidez con la que Fortinet ha reaccionado. “La explotación activa de una vulnerabilidad de bypass de autenticación en plataformas cloud representa uno de los escenarios más críticos para la ciberseguridad corporativa”, señala Jordi García, CISO en una multinacional tecnológica. Por su parte, pentesters advierten que “la cadena de ataque podría combinarse con movimientos laterales y técnicas de persistencia avanzada, maximizando el impacto”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente supone una llamada de atención sobre la necesidad de gestionar de forma proactiva los riesgos asociados a servicios cloud y autenticación federada. Los equipos SOC deben priorizar la detección de accesos SSO anómalos y reforzar los controles de acceso. Los administradores de sistemas han de revisar y actualizar todos los dispositivos conectados a FortiCloud y evaluar el posible impacto en la cadena de suministro digital.

A nivel de cumplimiento normativo, es fundamental documentar cualquier acceso no autorizado y, en caso de exposición de datos personales, notificar a las autoridades competentes conforme al GDPR y a los requisitos de la directiva NIS2.

#### Conclusiones

La vulnerabilidad CVE-2024-24858 en FortiCloud SSO pone de manifiesto la importancia de la vigilancia continua y la gestión ágil de incidentes en entornos cloud. La rápida respuesta de Fortinet y la colaboración de la comunidad de ciberseguridad han permitido contener la amenaza, pero persiste la necesidad de mantener actualizados los sistemas y reforzar las políticas de autenticación. La explotación de este fallo evidencia el interés creciente de los atacantes en los vectores de acceso remoto y la gestión centralizada de infraestructuras de seguridad.

(Fuente: www.bleepingcomputer.com)