CVE-2024-23113 es una vulnerabilidad crítica en FortiOS que permite ejecución remota de código sin autenticación en dispositivos Fortinet. CISA la incluyó en su catálogo de vulnerabilidades activamente explotadas. Se recomienda actualizar inmediatamente.
Una vulnerabilidad crítica en FortiOS, identificada como CVE-2024-23113, está afectando a dispositivos Fortinet a nivel global.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha incluido esta vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) tras detectar evidencia de su explotación activa. Con una puntuación de 9.8 en el CVSS, la CVE-2024-23113 permite la ejecución remota de código (RCE) sin necesidad de autenticación en dispositivos Fortinet que no hayan sido actualizados con los parches correspondientes.
Acerca de la vulnerabilidad CVE-2024-23113
La vulnerabilidad CVE-2024-23113, una falla de formato de cadena (CWE-134) en el daemon fgfmd de FortiOS, afecta también a FortiPAM, FortiProxy y FortiWeb en múltiples versiones [1]. Descubierta y reportada internamente por Gwendal Guégniaud del equipo de Seguridad de Productos de Fortinet, esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios mediante solicitudes especialmente diseñadas [2].
Para explotar esta falla, los atacantes deben enviar paquetes manipulados a los dispositivos vulnerables. Fortinet lanzó parches en febrero de 2024 para las versiones FortiOS 7.4.3, 7.2.7 y 7.0.14 [3] [4]. Es crucial que los administradores actualicen sus sistemas a estas versiones para mitigar el riesgo de explotación.
Productos y versiones afectadas
Tabla 1. Productos y versiones afectadas
| Versión | Afectada | Mitigación |
| FortiOS 7.4 | 7.4.0 a la 7.4.2 | Actualiza a 7.4.3 o superior |
| FortiOS 7.2 | 7.2.0 a la 7.2.6 | Actualiza a 7.2.7 o superior |
| FortiOS 7.0 | 7.0.0 a la 7.0.13 | Actualiza a 7.0.14 o superior |
| FortiPAM 1.3 | NO AFECTADA | NO APLICA |
| FortiPAM 1.2 | 1.2 todas las versiones | Migrar a un parche liberado |
| FortiPAM 1.1 | 1.1 todas las versiones | Migrar a un parche liberado |
| FortiPAM 1.0 | 1.0 todas las versiones | Migrar a un parche liberado |
| FortiProxy 7.4 | 7.4.0 a la 7.4.2 | Actualiza a 7.4.3 o superior |
| FortiProxy 7.2 | 7.2.0 a la 7.2.8 | Actualiza a 7.2.9 o superior |
| FortiProxy 7.0 | 7.0.0 a la 7.0.15 | Actualiza a 7.0.16 o superior |
| FortiWeb 7.4 | 7.4.0 a la 7.4.2 | Actualiza a 7.4.3 o superior |
FortiOS 6.x no es afectado.
Recomendaciones urgentes
Es crucial actualizar de inmediato a una versión que solucione esta vulnerabilidad aplicando el parche proporcionado por Fortinet. Además, manténgase al tanto de las actualizaciones y siga las recomendaciones de los proveedores de ciberseguridad y las autoridades locales para minimizar el riesgo de explotación.
Workaround
Según [1], para cada interfaz, elimine el acceso a fgfm, por ejemplo, cambiar:
config system interface
edit «portX»
set allowaccess ping https ssh fgfm
next
end
A:
config system interface
edit «portX»
set allowaccess ping https ssh
next
end
- Tener en cuenta que esta medida impedirá que FortiManager descubra FortiGate. Sin embargo, las conexiones desde FortiGate seguirán siendo posibles.
- Además, implementar una política de acceso local que solo permita conexiones FGFM desde una dirección IP específica ayudará a reducir la superficie de ataque, pero no evitará que la vulnerabilidad sea explotada desde dicha IP. Por lo tanto, esta acción debe considerarse una medida de mitigación y no una solución completa.
Referencia:
[1] FortiGuard, «Format String Bug in fgfmd,» [En línea]. Available: https://www.fortiguard.com/psirt/FG-IR-24-029.
[2] Z. Zorz, «HelpnetSecurity,» [En línea]. Available: https://www.helpnetsecurity.com/2024/10/15/cve-2024-23113/.
[3] R. Lakshmanan, «The Hacker News,» [En línea]. Available: https://thehackernews.com/2024/10/cisa-warns-of-critical-fortinet-flaw-as.html.
[4] I. Arghire, «SecurityWeek,» [En línea]. Available: https://www.securityweek.com/organizations-warned-of-exploited-fortinet-fortios-vulnerability/.
