Fortinet ha lanzado parches críticos de seguridad para una peligrosa vulnerabilidad en dispositivos FortiSwitch, que podría permitir a atacantes cambiar contraseñas de administrador de forma remota y sin autenticación.
El fallo, identificado como CVE-2024-48887, fue descubierto internamente por Daniel Rozeboom, del equipo de desarrollo de la interfaz web de FortiSwitch.
Esta vulnerabilidad tiene una puntuación de severidad de 9.8/10, lo que la convierte en altamente crítica.
¿Cómo funciona la vulnerabilidad?
El error está relacionado con el endpoint set_password de la GUI de FortiSwitch, que permite modificar contraseñas sin verificación previa.
Un atacante puede enviar una petición especialmente diseñada a través de la interfaz web del dispositivo para tomar control de cuentas administrativas.
“Una vulnerabilidad de cambio de contraseña sin verificación [CWE-620] en la GUI de FortiSwitch podría permitir que un atacante remoto y no autenticado modifique contraseñas de administrador mediante una solicitud especialmente diseñada”, explicó Fortinet.
Dispositivos y versiones afectadas ⚙️
La vulnerabilidad afecta a múltiples versiones de FortiSwitch:
| Versión | Versiones afectadas | Parche disponible |
|---|---|---|
| 7.6 | 7.6.0 | 7.6.1 o superior |
| 7.4 | 7.4.0 – 7.4.4 | 7.4.5 o superior |
| 7.2 | 7.2.0 – 7.2.8 | 7.2.9 o superior |
| 7.0 | 7.0.0 – 7.0.10 | 7.0.11 o superior |
| 6.4 | 6.4.0 – 6.4.14 | 6.4.15 o superior |
Fortinet recomienda actualizar de inmediato a las versiones parcheadas. Para quienes no puedan aplicar las actualizaciones de forma inmediata, se recomienda:
- Deshabilitar el acceso HTTP/HTTPS a las interfaces administrativas.
- Limitar el acceso a los dispositivos afectados a hosts de confianza únicamente.
Otros fallos también parcheados
Fortinet también solucionó el martes:
- Una vulnerabilidad de inyección de comandos del sistema operativo (CVE-2024-54024) en FortiIsolator.
- Fallos en FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice y FortiWeb (CVE-2024-26013 y CVE-2024-50565), explotables por atacantes no autenticados en ataques de tipo “man-in-the-middle”.
Fortinet: blanco frecuente de ataques zero-day ️
Las vulnerabilidades en productos Fortinet son frecuentemente explotadas en la naturaleza, muchas veces antes de que existan parches disponibles:
- En diciembre, hackers chinos utilizaron un zero-day sin CVE en FortiClient VPN para Windows para robar credenciales.
- El fallo “FortiJump” (CVE-2024-47575) fue usado como zero-day desde junio de 2024 para vulnerar más de 50 servidores.
- En enero y febrero se descubrieron dos fallos adicionales (CVE-2024-55591 y CVE-2025-24472), explotados en ataques de ransomware.