Fortinet ha identificado a un actor de amenazas que está creando un archivo malicioso a partir de vulnerabilidades RCE previamente explotadas en FortiOS y productos FortiGate. Este archivo malicioso podría permitir el acceso de solo lectura a archivos en el sistema de archivos de los dispositivos, lo que puede incluir configuraciones. Para obtener más información, consulte el siguiente recurso:
CISA recomienda a los administradores revisar la alerta de Fortinet y:
- Actualizar a las versiones de FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 para eliminar el archivo malicioso y prevenir una posible reinfección.
- Revisar la configuración de todos los dispositivos involucrados.
- Restablecer las credenciales potencialmente expuestas.
- Como medida de mitigación temporal hasta que se aplique el parche, considere deshabilitar la funcionalidad de SSL-VPN, ya que la explotación del archivo requiere que el SSL-VPN esté habilitado.
Las organizaciones deben informar incidentes y actividad anómala al Centro de Operaciones 24/7 de CISA en Report@cisa.gov o al (888) 282-0870.
Para obtener más información sobre la mitigación: Pasos recomendados para ejecutar en caso de... - Comunidad de Fortinet .