CISA, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU., ha añadido un fallo de seguridad crítica que afecta a todos los productos Fortinet a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), sospechando que hay evidencias de explotación activa.
Esta vulnerabilidad, rastreada como CVE-2024-23113 (puntación CVSS: 9,8), se refiere a casos de ejecución remota de código que afecta a FortiOS, FortiPAM, FortiProxy y FortiWeb.
"El uso de una vulnerabilidad de cadena de formato controlada externamente [CWE-134] en el demonio fgfmd de FortiOS puede permitir que un atacante remoto no autenticado ejecute código arbitrario o comandos a través de solicitudes especialmente diseñadas", ha explicado la empresa en un aviso sobre la falla.
Por el momento no se han dado muchos detalles sobre cómo se está explotando la deficiencia en la naturaleza o quién la está usando como arma y contra quién.
Otros problemas de seguridad
Por otro lado, y según se hace eco TheHackerNews, Palo Alto Networks ha revelado múltiples fallas de seguridad en Expedition que podrían permitir a un atacante leer el contenido de la base de datos y archivos arbitrarios, además de escribir archivos arbitrarios en ubicaciones de almacenamiento temporal en el sistema.
"Combinados, estos incluyen información como nombres de usuario, contraseñas de texto sin cifrar, configuraciones de dispositivos y claves API de dispositivos de firewalls PAN-OS", recogía la alerta de Palo Alto Networks.
Hay más de una veintena de servidores Expedition expuestos a Internet, la mayoría de los cuales se encuentran en EE.UU., Bélgica, Alemania, Países Bajos y Australia. Como mitigación, se recomienda limitar el acceso a usuarios, hosts o redes autorizados, y apagar el software cuando no esté en uso activo.
Para más inri, Cisco también lanzó parches para remediar una falla crítica de ejecución de comandos en en Nexus Dashboard Fabric Controller (NDFC) que, según dijo, se deriva de una autorización de usuario incorrecta y una validación insuficiente de los argumentos de comando.
"Un atacante podría explotar esta vulnerabilidad enviando comandos elaborados a un punto final de la API REST afectado o a través de la interfaz de usuario web", dijo. "Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en la CLI de un dispositivo administrado por Cisco NDFC con privilegios de administrador de red", añade.
Esta vulnerabilidad ha sido seguida como CVE-2024-20432 y tiene una puntuación CVSS de 9,9.