Los clientes de Fortinet deben utilizar el programa y aplicar las últimas actualizaciones, ya que casi 50.000 interfaces de administración aún son vulnerables al último exploit de día cero.
Los datos de la Shadowserver Foundation muestran que 48,457 cajas Fortinet todavía están expuestas públicamente y no se les ha aplicado el parche para CVE-2024-55591, a pesar de las severas advertencias emitidas durante los últimos siete días.
La situación tampoco ha mejorado con el tiempo. El servidor de sombras comenzó seguimiento la cantidad de dispositivos expuestos el 16 de enero, dos días después de que se emitiera el identificador CVE para el día cero, e incluso entonces apenas 52.000 instancias eran vulnerables.
Los clientes de Asia son los más expuestos, con 20.687 firewalls vulnerables todavía accesibles a través de Internet, mientras que América del Norte y Europa van a la zaga con 12.866 y 7.401 respectivamente.
Un recordatorio para aquellos que todavía están demorados en parchear este, Fortinet confirmó que CVE-2024-55591 está siendo explotado activamente y que también está en el catálogo KEV de CISA. No sea como los más de 86.000 clientes que no parchó el último.
hablando con El Registro sobre el tema la semana pasada, Stefan Hostetler, investigador principal de inteligencia de amenazas de Arctic Wolf Labs dicho Las hazañas han sido generalizadas, oportunistas y se remontan a diciembre.
Añadió que una vez que han atrapado a su objetivo, los atacantes parecen estar robando credenciales y usándolas para abrirse camino a través de la red de la víctima con privilegios de administrador. El resto de los detalles aún se están recopilando, pero, no hace falta decirlo, un intruso con acceso de administrador no es una incorporación bienvenida a la red.
«Lo que podemos decir es que el ransomware no está descartado», dijo Hostetler, citando tácticas similares utilizadas en el pasado por personas como Akira y Fog.
Fortinet consultivo tiene todos los detalles sobre cómo actualizar a una versión segura de FortiOS y FortiProxy, o implementar una solución alternativa mientras tanto.
comienzo difícil
Como IvantiFortinet ha tenido un comienzo complicado en 2025. No solo ha estado lidiando con CVE-2024-55591, sino que a fines de la semana pasada el proveedor también confirmó que las filtraciones del Grupo Belsen eran genuinas.
Miles de configuraciones y contraseñas para dispositivos Fortinet fueron publicado en línea por una nueva banda de criminales llamada Grupo Belsen. Fueron robados en 2022 utilizando una vulnerabilidad de día cero, pero recientemente aparecieron en línea.
Dada la aparente actitud indiferente de algunos clientes de Fortinet hacia la reparación de agujeros de seguridad, si nos guiamos por los incidentes anteriores, existe la posibilidad de que algunas de las víctimas de esta violación no hayan actualizado sus credenciales de seguridad desde entonces, dejándolas vulnerables a nuevos ataques. .
El observador de Infosec Kevin Beaumont dijo que las víctimas eran principalmente PYMES, aunque también se incluyeron algunas organizaciones más grandes y gobiernos.
Sin embargo, Fortinet ofreció cierto alivio al afirmar que si desde entonces se han seguido las mejores prácticas de seguridad habituales, el riesgo de compromiso es pequeño. Los dispositivos comprados después de diciembre de 2022 tampoco se ven afectados.
Aquellos que aún puedan estar en riesgo recibirán pronto una llamada o un correo electrónico de la sede central de Fortinet, advirtiéndoles de ese hecho y animándolos a aplicar las acciones recomendadas por el proveedor.
«Si está dentro del alcance, es posible que necesite cambiar las credenciales del dispositivo y evaluar el riesgo de que las reglas de firewall estén disponibles públicamente», dijo Beaumont.
Este año ha empezado prácticamente igual para Fortinet al igual que el últimocual el reg descrita como la «semana del infierno» del vendedor.
Después de dos errores críticos y un proceso de divulgación fallido, a principios de febrero Fortinet estaba limpiando una variedad de problemas. Todo culminó con la infame (y falsa) historia DDoS del cepillo de dientes, una afirmación publicada por un periódico suizo luego de una reunión informativa individual con uno de los investigadores del proveedor.
Según cuenta la historia, Fortinet le contó a un periodista cómo una botnet de 3 millones de dispositivos estaba lanzando ataques DDoS contra organizaciones suizas (no lo fue), y los reclutados para la botnet eran cepillos de dientes conectados a Internet con malware instalado.
Una vez publicado, los espectadores rápidamente descartaron las afirmaciones que Fortinet luego intentó atribuir a problemas de traducción, afirmando que el ataque del cepillo de dientes se presentó como algo hipotético, una mera «ilustración de un tipo determinado de ataque». El periódico suizo cuestionó esto, diciendo que el artículo fue enviado al proveedor para su aprobación y fue devuelto sin modificaciones. ®
