Advertencia de Fortinet sobre nuevas técnicas de post-explotación para vulnerabilidades conocidas.

Fortinet ha detectado la creación de un archivo malicioso por parte de un actor de amenazas a partir de vulnerabilidades de RCE previamente explotadas en productos FortiOS y FortiGate. Este archivo malicioso podría permitir acceso de solo lectura a archivos en el sistema de archivos de los dispositivos, lo cual puede incluir configuraciones.

Consulte el siguiente recurso para obtener más información:

• Analysis of Threat Actor Activity | Fortinet Blog

CISA recomienda a los administradores revisar la advertencia de Fortinet y:

• Actualizar a las versiones de FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 para eliminar el archivo malicioso y evitar la recompromisión.
• Revisar la configuración de todos los dispositivos dentro del alcance.
• Restablecer credenciales potencialmente expuestas.
• Como mitigación temporal hasta que se aplique el parche, considerar deshabilitar la funcionalidad SSL-VPN, ya que la explotación del archivo requiere que SSL-VPN esté habilitado.

Las organizaciones deben informar incidentes y actividad anómala al Centro de Operaciones 24/7 de CISA en Report@cisa.gov o al (888) 282-0870.

Para obtener más información sobre mitigación: Recommended steps to execute in case of a... - Fortinet Community.