Técnica de post-explotación para vulnerabilidades conocidas: nueva advertencia de Fortinet

Fortinet ha identificado a un actor de amenazas que está creando un archivo malicioso a partir de vulnerabilidades RCE previamente explotadas en FortiOS y productos FortiGate. Este archivo malicioso podría permitir el acceso de solo lectura a archivos en el sistema de archivos de los dispositivos, lo que puede incluir configuraciones. Para obtener más información, consulte el siguiente recurso:

• Análisis de la actividad del actor de amenazas | Blog de Fortinet

CISA recomienda a los administradores revisar la alerta de Fortinet y:

• Actualizar a las versiones de FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 para eliminar el archivo malicioso y prevenir una posible reinfección.
• Revisar la configuración de todos los dispositivos involucrados.
• Restablecer las credenciales potencialmente expuestas.
• Como medida de mitigación temporal hasta que se aplique el parche, considere deshabilitar la funcionalidad de SSL-VPN, ya que la explotación del archivo requiere que el SSL-VPN esté habilitado.

Las organizaciones deben informar incidentes y actividad anómala al Centro de Operaciones 24/7 de CISA en Report@cisa.gov o al (888) 282-0870.

Para obtener más información sobre la mitigación: Pasos recomendados para ejecutar en caso de... - Comunidad de Fortinet .