 |
Se están lanzando ataques contra dispositivos Fortinet expuestos a Internet con exploits dirigidos a CVE-2022-39952, una vulnerabilidad de manipulación de rutas de archivos sin autenticación en el servidor web FortiNAC que puede utilizarse para la ejecución remota de comandos. Estos ataques se producen un día después de que los investigadores de seguridad de Horizon3 publicaran una prueba de concepto de código de explotación para el fallo de gravedad crítica que añadirá una tarea cron para iniciar un shell inverso en los sistemas comprometidos como usuario root. |
Fortinet reveló la vulnerabilidad en un aviso de seguridad el jueves, diciendo que el fallo afecta a múltiples versiones de su solución de control de acceso a la red FortiNAC y permite a los atacantes ejecutar código o comandos no autorizados tras una explotación exitosa.
La empresa ha publicado actualizaciones de seguridad y ha instado a los clientes a actualizar los dispositivos vulnerables a las últimas versiones disponibles que solucionan la vulnerabilidad.
Dado que Fortinet no ha proporcionado directrices de mitigación o soluciones, la actualización es la única manera de frustrar los intentos de ataque.
Los atacantes ya han comenzado a atacar dispositivos FortiNAC sin parches con exploits CVE-2022-39952, como descubrieron por primera vez los investigadores de seguridad de la Fundación Shadowserver el martes.
"Estamos viendo intentos de explotación de Fortinet FortiNAC CVE-2022-39952 desde múltiples IPs en nuestros sensores honeypot", dijo Piotr Kijewski de Shadowserver.
Sus hallazgos fueron confirmados por investigadores de las empresas de ciberseguridad GreyNoise y CronUp el miércoles, después de ver ataques CVE-2022-39952 desde múltiples direcciones IP.
El investigador de seguridad de CronUp, Germán Fernández, reveló en un informe que están "observando una explotación masiva de los dispositivos Fortinet FortiNAC a través de la vulnerabilidad CVE-2022-39952."
"Esta vulnerabilidad es crítica y clave en el ecosistema de Ciberseguridad, ya que en primera instancia, podría permitir el acceso inicial a la red corporativa", dijo Fernández.
La actividad maliciosa observada mientras se analizaban estos ataques en curso coincide con las capacidades de explotación del PoC de Horizon3, y CronUp observó que los atacantes utilizaban corn jobs para abrir reverse shells a las direcciones IP de los atacantes.
En diciembre, Fortinet advirtió a sus clientes que parcheasen los dispositivos SSL-VPN FortiOS contra un fallo de seguridad activamente explotado (CVE-2022-42475) que permite la ejecución remota de código sin autenticación en dispositivos vulnerables.
Como la compañía reveló más tarde, el fallo también fue explotado como un día cero en ataques contra organizaciones gubernamentales y objetivos relacionados con el gobierno.
Dos meses antes, la empresa también instó a los administradores a parchear urgentemente una vulnerabilidad crítica de FortiOS, FortiProxy y FortiSwitchManager (CVE-2022-40684) que se ha explotado en la naturaleza.