Fortinet ha lanzado actualizaciones críticas para FortiOS y FortiProxy, corrigiendo una vulnerabilidad (CVE-2024-55591) que permite a atacantes remotos obtener privilegios super-admin. Se recomienda actualizar urgentemente a FortiOS 7.0.17+ y FortiProxy 7.2.13+, además de restringir el acceso administrativo.
En las últimas semanas, se ha detectado una campaña de ataques activos dirigida a firewalls FortiGate con interfaces de administración expuestas, según informes de Arctic Wolf [2]. Los atacantes están explotando la vulnerabilidad crítica CVE-2024-55591, un zero-day que permite la creación de cuentas de administrador maliciosas y la configuración de conexiones VPN SSL no autorizadas, otorgando privilegios de super-admin. Este fallo, catalogado como crítico por su impacto en la integridad y seguridad de sistemas, afecta a productos ampliamente utilizados de Fortinet, como FortiOS y FortiProxy. Su explotación en entornos reales subraya la urgencia de aplicar parches y mitigaciones inmediatas.
Acerca de la vulnerabilidad CVE-2024-55591
La vulnerabilidad se clasifica como un bypass de autenticación mediante un canal alternativo (CWE-288) [3]. Un atacante remoto puede enviar solicitudes maliciosas al módulo Node.js websocket de FortiOS y FortiProxy, eludiendo los mecanismos de autenticación y obteniendo acceso con privilegios máximos (super-admin) [3] [4]. Este fallo, que tiene una puntuación CVSSv3 de 9,6, reflejando su capacidad para comprometer sistemas sin requerir credenciales previas [3].
Productos y versiones afectadas
Tabla 1. Productos y versiones afectadas. Tomado de [3].
| Versión | Afectada | Solución |
| FortiOS 7.6 | No afectada | No aplica |
| FortiOS 7.4 | No afectada | No aplica |
| FortiOS 7.2 | No afectada | No aplica |
| FortiOS 7.0 | 7.0.0 a 7.0.16 | Actualizar a 7.0.17 o superior |
| FortiOS 6.4 | No afectada | No aplica |
| FortiProxy 7.6 | No afectada | No aplica |
| FortiProxy 7.4 | No afectada | No aplica |
| FortiProxy 7.2 | 7.2.0 a 7.2.12 | Actualizar a 7.2.13 o superior |
| FortiProxy 7.0 | 7.0.0 a 7.0.19 | Actualizar a 7.0.20 o superior |
| FortiProxy 2.0 | No afectada | No aplica |
Indicadores de compromiso (IoCs)
Según el análisis de Fortinet [3], los siguientes registros de actividad podrían indicar intentos de explotación de la vulnerabilidad CVE-2024-55591:
- Registros de acceso exitoso desde la interfaz
jsconsole, con direcciones IP aleatorias en los campossrcipydstip:
type=»event» subtype=»system» level=»information» vd=»root» logdesc=»Admin login successful» sn=»1733486785″ user=»admin» ui=»jsconsole» method=»jsconsole» srcip=1.1.1.1 dstip=1.1.1.1 action=»login» status=»success» reason=»none» profile=»super_admin» msg=»Administrator admin logged in successfully from jsconsole»
- Registros de creación de usuarios con nombres aleatorios y privilegios de super_admin:
type=»event» subtype=»system» level=»information» vd=»root» logdesc=»Object attribute configured» user=»admin» ui=»jsconsole(127.0.0.1)» action=»Add» cfgtid=1411317760 cfgpath=»system.admin» cfgobj=»vOcep» cfgattr=»password[*]accprofile[super_admin]vdom[root]» msg=»Add system.admin vOcep»
- Las siguientes IPs han sido identificadas en registros de explotación activa:
1.1.1.1
127.0.0.1
2.2.2.2
8.8.8.8
8.8.4.4
Tenga en cuenta que los parámetros IP anteriores no son las direcciones IP de origen reales del tráfico de ataque, son generados arbitrariamente por el atacante como un parámetro. Debido a esto no deben ser utilizados para ningún bloqueo.
Workaround
Para reducir el riesgo asociado a la vulnerabilidad CVE-2024-55591, Fortinet recomienda implementar las siguientes acciones temporales mientras se aplican las actualizaciones definitivas:
- Deshabilitar la interfaz administrativa HTTP/HTTPS
o
- Restringir acceso a la interfaz administrativa mediante políticas local-in:
Definir una dirección o subred permitida:
config firewall address
edit «my_allowed_addresses»
set subnet
end
Crear un grupo de direcciones:
config firewall addrgrp
edit «MGMT_IPs»
set member «my_allowed_addresses»
end
Aplicar políticas local-in para restringir el acceso sólo al grupo predefinido en la interfaz de gestión (aquí: puerto1):
config firewall local-in-policy
edit 1
set intf port1
set srcaddr «MGMT_IPs»
set dstaddr «all»
set action accept
set service HTTPS HTTP
set schedule «always»
set status enable
next
edit 2
set intf «all»
set srcaddr «all»
set dstaddr «all»
set action deny
set service HTTPS HTTP
set schedule «always»
set status enable
end
Si utiliza puertos no predeterminados, cree el objeto de servicio adecuado para el acceso administrativo a la interfaz gráfica de usuario:
config firewall service custom
edit GUI_HTTPS
set tcp-portrange 443
next
edit GUI_HTTP
set tcp-portrange 80
end
Recomendaciones
- Aplicar inmediatamente los parches oficiales proporcionados por Fortinet para las versiones afectadas.
- Restringir el acceso a las interfaces de gestión (HTTP/HTTPS) solo a redes o direcciones IP confiables.
- Revisar registros en busca de actividades anómalas, como inicios de sesión inesperados o creación de cuentas no autorizadas.
- Implementar listas de control de acceso (ACL) y bloquear tráfico proveniente de direcciones IP sospechosas.
Verificar y eliminar cuentas administrativas no reconocidas, especialmente aquellas con privilegios elevados (super-admin).
Referencia:
[1] R. Lakshmanan, «Fortinet Warns of New Zero-Day Used in Attacks on Firewalls with Exposed Interfaces,» The Hacker News, 14 Enero 2025. [En línea]. Available: https://thehackernews.com/2025/01/zero-day-vulnerability-suspected-in.html.
[2] S. Hostetler, J. Tuin, T. Daher, J. Grimm, A. Newbury, J. Wedderspoon y M. Neis, «Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls,» Arctic Wolf, 10 Enero 2025. [En línea]. Available: https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/.
[3] «Authentication bypass in Node.js websocket module,» FortiGuard, 14 Enero 2025. [En línea]. Available: https://www.fortiguard.com/psirt/FG-IR-24-535.
[4] «January 17 Advisory: Zero-Day Vulnerability in FortiOS and FortiProxy Added to CISA KEV [CVE-2024-55591],» Censys, 17 Enero 2025. [En línea]. Available: https://censys.com/cve-2024-55591/.
