[24/02/2023] Ya está disponible un código de explotación de prueba de concepto para una vulnerabilidad crítica en los dispositivos Fortinet FortiNAC y los atacantes ya han empezado a utilizarlo. Se recomienda a los usuarios que parcheen sus sistemas lo antes posible.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
FortiNAC es una solución de acceso a la red de confianza cero que puede desplegarse como un dispositivo de hardware o como un dispositivo de máquina virtual. Se utiliza para la segmentación, visibilidad y control de los dispositivos y usuarios conectados a la red. Como tal, puede desplegarse en el perímetro de la red, lo que la convierte en un objetivo más fácil para los ataques basados en Internet. Según los análisis de Shodan, más de 700 mil dispositivos Fortinet están conectados a Internet en todo el mundo.
Ejecución remota de código sin autenticación
La vulnerabilidad, rastreada como CVE-2022-39952, fue revelada y parcheada por Fortinet la semana pasada. Permite a los atacantes no autenticados escribir archivos arbitrarios en el sistema, lo que puede dar lugar a la ejecución de código o comandos. La falla fue descubierta internamente por un miembro del equipo de seguridad de productos de Fortinet y tiene una calificación de 9,8 sobre 10 en la escala de gravedad CVSS.
Investigadores de la consultora de seguridad Horizon3.ai realizaron una comparación de las versiones parcheadas y vulnerables del dispositivo FortiNAC, y pudieron localizar y confirmar la vulnerabilidad. Se encuentra en un archivo llamado keyUpload.jsp que permite la carga de archivos que luego se guardan localmente en la ubicación /bsc/campusMgr/config.applianceKey.
El sistema operativo ejecuta entonces un script bash que ejecuta un comando unzip contra el archivo almacenado. Inicialmente, esto apuntaba a una posible vulnerabilidad de path traversal, en la que los atacantes podrían crear un archivo que, al descomprimirlo, escribiera archivos fuera de la ruta prevista. Sin embargo, este no es el caso de unzip, que elimina las rutas relativas y, por tanto, protege contra los problemas de cruce de rutas, según los investigadores. El script bash que llama a unzip en este caso cambia primero el directorio de trabajo actual a "/", que en los sistemas Linux es la raíz de la partición.
"Unzip permite colocar archivos en cualquier ruta, siempre y cuando no sobrepasen el directorio de trabajo actual", explicaron los investigadores. "Como el directorio de trabajo es '/', la llamada a unzip dentro del script bash permite escribir cualquier archivo arbitrario".
En otras palabras, los atacantes pueden crear un archivo zip que desempaquete su contenido en cualquier ruta de archivo bajo toda la partición. Para demostrar un exploit armado, los investigadores de Horizon3 aprovecharon la vulnerabilidad para escribir una carga maliciosa en /etc/cron.d/, que es el mecanismo de tareas programadas de Linux. Esta tarea se ejecuta cada minuto e inicia una shell inversa para el atacante.
Abusar de cron.d es solo una forma de explotar esta falla y lograr la ejecución remota de código. Los atacantes también podrían optar por sobrescribir cualquier archivo binario en el sistema que saben que el sistema operativo ejecutará, o podrían añadir su propia clave SSH a un perfil de usuario, permitiendo el acceso remoto a ese usuario a través de SSH.
"Lamentablemente, el dispositivo FortiNAC no permite el acceso a la interfaz gráfica de usuario a menos que se haya añadido una clave de licencia, por lo que no se disponía de registros nativos de la interfaz gráfica de usuario para buscar indicadores", explicaron los investigadores.
"Sin embargo, la explotación del problema era observable en los registros del sistema de archivos ubicados en /bsc/logs/output.master. En concreto, se podía comprobar la línea Running configApplianceXml siempre y cuando el atacante no hubiera borrado este archivo de registro".
Fortinet aconseja a los usuarios actualizar a FortiNAC versión 9.2.6 o superior, 9.1.8 o superior y 7.2.0 o superior, dependiendo de la versión soportada que utilicen.
Ataques activos que utilizan la vulnerabilidad de FortiNAC
CronUp, una empresa de ciberseguridad con sede en Chile, ha informado de la existencia de ataques que aprovechan la vulnerabilidad de FortiNAC. Primero, vieron intentos que creaban shells inversos como en la prueba de concepto de Horizon3.
Después, los atacantes pasaron a desplegar webshells, scripts de puerta trasera basados en la Web que permiten la ejecución remota de comandos. Las dos webshells observadas hasta ahora se desplegaron en bsc/campusMgr/ui/ROOT/fortii.jsp y bsc/campusMgr/ui/ROOT/shell.jsp en instalaciones vulnerables. GreyNoise, un servicio que rastrea el tráfico malicioso en Internet, añadió la capacidad de detectar ataques dirigidos a esta vulnerabilidad y ha empezado a ver intentos de explotación.
No es la primera vez que los atacantes se dirigen a productos y dispositivos de seguridad de Fortinet. En enero, Fortinet advirtió a los usuarios de que los atacantes estaban explotando una vulnerabilidad crítica en FortiOS SSL-VPN que fue parcheada en diciembre para desplegar un sofisticado implante Linux.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú