Lanzamientos de PoC para la vulnerabilidad de día cero de Fortinet CVE-2024-5559, 45.000 siguen siendo vulnerables

ARTICULO EDUCATIVO PARA GENERAR CONCIENCIA Y MITIGAR VULNERABILIDADES

Lanzamientos de PoC para la vulnerabilidad de día cero de Fortinet CVE-2024-5559, 45.000 siguen siendo vulnerables

Esta vulnerabilidad, con una puntuación CVSS de 9,8, existe en la funcionalidad jsconsole y afecta a las versiones de FortiOS 7.0.0 a 7.0.16 y a las versiones de FortiProxy 7.0.0 a 7.0.19 y 7.2.0 a 7.2.12. La explotación exitosa permite a los atacantes crear cuentas administrativas fraudulentas, modificar políticas de firewall y establecer conexiones VPN a redes internas.

Según laboratorios WatchTowr investigadora Aliz Hammond, la vulnerabilidad surge de una cadena de problemas, que incluyen:

Una conexión WebSocket preautenticada que se puede iniciar a través de HTTP.

El uso de a local_access_token parámetro para omitir comprobaciones de sesión.

Una condición de carrera en el proceso de manejo de mensajes WebSocket.

Falta de tokens o contraseñas únicas para el establecimiento del usuario.

Obtenga FortiRekt, soy el Super_Admin ahora - Omisión de autenticación Fortinet FortiOS CVE-2024-55591

Específicamente, la debilidad de esta funcionalidad permitió a los atacantes agregar una nueva cuenta administrativa. Esto nos pareció curioso, simples mortales, porque normalmente después de una omisión de autenticación tienes todos los privilegios que necesitarías y, por lo tanto, nuestras cejas se levantaron al leer la lista de IoC.

PoC y conclusión

Este ha sido un viaje apasionante para nosotros, con giros, vueltas y desvíos por todos lados, ralentizando nuestro progreso, pero el fruto está ahí.

Esta vulnerabilidad no es "sólo" una simple omisión de autenticación, sino una cadena de problemas combinados en una vulnerabilidad crítica. Para resumir esta vulnerabilidad en un formato digerible, están sucediendo cuatro cosas importantes:

Se puede crear una conexión WebSocket a partir de una solicitud HTTP preautenticada.

Un parámetro especial local_access_token se puede utilizar para omitir comprobaciones de sesión.

Una condición de carrera en WebSocket → Telnet CLI nos permite enviar autenticación antes que el servidor.

La autenticación que realizamos no contiene ninguna clave, contraseña o identificador único para establecer un usuario. Podemos simplemente elegir nuestro perfil de acceso (¡super_admin lo es!).