Diferentes ciberatacantes han estado aprovechando una vulnerabilidad crítica que permite la ejecución remota de código en los sistemas Fortinet Enterprise Management Server (EMS). Aunque el parche de seguridad fue lanzado recientemente, los atacantes han logrado ejecutar código y comandos arbitrarios con privilegios de administrador en los sistemas vulnerables, advirtió Víctor Ruiz, fundador de SILIKN.
La vulnerabilidad, identificada como CVE-2023-48788 y con una calificación de gravedad CVSS de 9.3 sobre 10, está siendo vigilada debido a que está siendo activamente aprovechada. Fortinet, que notificó a sus usuarios sobre este problema y proporcionó un parche de seguridad a principios de marzo de 2024, ha actualizado su aviso de seguridad para resaltar la situación de explotación.
Específicamente, Víctor Ruiz informó que el fallo impacta a FortiClient EMS y se deriva de una vulnerabilidad de inyección SQL presente en un componente de almacenamiento que está directamente enlazado al servidor. Esta vulnerabilidad se manifiesta durante las interacciones entre el servidor y los dispositivos conectados a él. La ausencia de una neutralización adecuada de elementos especiales utilizados en comandos SQL dentro de FortiClient EMS, puede permitir que un atacante no autenticado ejecute código o comandos no autorizados mediante solicitudes especialmente diseñadas.
Es importante señalar que los errores de seguridad en los productos de Fortinet han sido objetivos recurrentes para los atacantes. Por ejemplo, se han documentado otras vulnerabilidades como CVE-2023-27997, que implica un desbordamiento de búfer crítico en varios productos de Fortinet, y CVE-2022-40684, una omisión de autenticación en tecnologías como FortiOS, FortiProxy y FortiSwitch Manager, las cuales han sido explotadas activamente por ciberatacantes. De hecho, este último fallo fue incluso vendido con el propósito de otorgar a los atacantes acceso inicial a sistemas comprometidos. De igual forma, se están vendiendo en foros clandestinos accesos Fortinet para varias corporaciones con diferentes regiones e ingresos.
Dadas las circunstancias mencionadas, con la divulgación de un código de explotación y considerando los ataques previos dirigidos hacia las vulnerabilidades de Fortinet por parte de diversos actores, incluyendo amenazas persistentes avanzadas (APT) y grupos respaldados por Estados-nación, Víctor Ruiz enfatizó la importancia de aplicar los parches de seguridad tan pronto como sea posible, especialmente a aquellas dependencias del gobierno mexicano que podrían presentar esta vulnerabilidad como:
- Comisión Nacional de Seguridad Nuclear y Salvaguardias
- Gobierno de Baja California Sur
- Secretaría de Educación de Quintana Roo
- Centro Estatal de Control de Confianza Certificado del Estado de Chiapas
- Sistema Estatal de Investigadores de San Luis Potosí
- Secretaría de Protección y Seguridad Ciudadana del Estado de Campeche
- Congreso del Estado de Nayarit
- Ayuntamiento de San Pedro Tlaquepaque, Jalisco
- Tribunal de Justicia Administrativa del Estado de Sinaloa
- Sistema Electrónico del Poder Judicial de la Federación
- Servicio Postal Mexicano
- Policía Auxiliar de la Ciudad de México
- Auditoría Superior del Estado de Baja California
- Secretaría de Educación Pública
- Sistema para el Desarrollo Integral de la Familia de Baja California
- Módulo Electrónico de Titulación de la Secretaría de Educación Pública
- Dirección General de Planeación, Programación y Estadística Educativa
- Consejo de la Judicatura Federal
- Centro de Coordinación, Comando, Control, Comunicaciones y Cómputo del Estado de Jalisco