Posted on

Reactivación de ataques contra CVE-2020-12812 en Fortinet

Més de 10.000 firewalls de Fortinet exposats a una omissió de 2FA explotada activament

 

Introducció

       S’ha detectat activitat maliciosa explotant una vulnerabilitat crítica en dispositius Fortinet FortiGate que permet ometre el segon factor d’autenticació (2FA). Esta vulnerabilitat, identificada com CVE-2020-12812 i corregida en 2020, continua afectant més de 10.000 firewalls exposats públicament que no han aplicat el pedaç corresponent.

 

Anàlisi 

La vulnerabilitat CVE-2020-12812 afecta FortiOS SSL VPN quan l’autenticació es realitza mitjançant LDAP. Permet a un atacant eludir la verificació del segon factor (FortiToken) si el nom d’usuari és manipulat (per exemple, canviant majúscules/minúscules).

Fortinet va publicar actualitzacions de seguretat al juliol de 2020 per a corregir la fallada i va instar a desactivar la distinció entre majúscules i minúscules com a mitigació temporal.

En les últimes setmanes, Fortinet ha confirmat que esta vulnerabilitat continua sent activament explotada en escenaris reals. El grup hadowserver detecta actualment més de 10.000 dispositius vulnerables en línia, amb especial concentració als Estats Units.

Esta vulnerabilitat ja va ser assenyalada en 2021 per la CISA i l’FBI com a part de campanyes de grups APT patrocinats per estats, i es va afegir en el seu moment al catàleg de vulnerabilitats explotades conegudes.

 

Vector d’atac

  • Aprofita la distorsió en el nom d’usuari en autenticar-se via SSL VPN.
  • Si LDAP està activat i el sistema és vulnerable, l’atacant aconseguix accés sense necessitat d’introduir el segon factor.

 

Impacte potencial

  • Accés no autoritzat a la xarxa corporativa.
  • Segrest de sessions administratives.
  • Persistència dins de l’entorn compromés.
  • Risc de desplegament de malware, ransomware o exfiltració de dades.

Classificació CVSS: 9.8 – Crítica

 

Recursos afectats:

Dispositius FortiGate amb FortiOS en les versions següents (sense posar pedaços):

  • FortiOS 6.0.0 a 6.0.9 (corregit en 6.0.10)
  • FortiOS 6.2.0 a 6.2.3 (corregit en 6.2.4)
  • FortiOS 6.4.0 (corregit en 6.4.1)

 

 

Recomanacions:

  • Aplicar immediatament les actualitzacions de seguretat publicades per Fortinet.
  • Verificar si LDAP està habilitat en les configuracions SSL VPN i revisar que no hi haja distorsió en el tractament del nom d’usuari.
  • Revisar registres d’accés i indicadors de compromís.
  • Desactivar temporalment l’autenticació per SSL VPN si no és imprescindible.

 

Referències: 

Logo de LangChain
Logo LangChain
Posted on

Boletín de diciembre de 2025

Diciembre marca el cierre de un ejercicio especialmente significativo para CSIRT-CV, en el que hemos celebrado 18 años de compromiso con la ciberseguridad en la Comunitat Valenciana. En este último boletín del año, repasamos las acciones más desarrolladas en el centro, con el objetivo de cerrar el ejercicio con perspectiva, extraer aprendizajes y prepararnos para los retos que nos traerá el próximo año.

 

Calendario de Adviento de Ciberseguridad interactivo

El pasado 1 de diciembre, CSIRT-CV publicó en concienciaT su Calendario de Adviento de Ciberseguridad interactivo, una iniciativa divulgativa que propone 24 consejos prácticos sobre seguridad de la información: contraseñas, WiFi, móviles, redes sociales, compras online, entre otros. Aunque diciembre ya ha finalizado, la concienciación no entiende de fechas: el calendario sigue disponible para aprender y reforzar hábitos digitales seguros durante todo el año. 

 

Precaución con las compras online

La subdirectora de Ciberseguridad, Carmen Serrano, ha recordado la importancia de extremar las precauciones en las compras online, especialmente en periodos de alta actividad como Navidad, rebajas, Black Friday o Cyber Monday. Entre las principales recomendaciones destaca: comprar únicamente en webs oficiales, evitar hacer clic en enlaces sospechosos y comprobar siempre que las páginas sean seguras. Puedes ver su intervención en A Punt en el siguiente enlace.

 

Webinar ‘Supervivencia digital en tu día a día’

La Generalitat, a través de CSIRT-CV, ha reforzado la formación en ciberseguridad de su personal de contratación mediante el webinar ‘Supervivencia digital en tu día a día’, con el objetivo de mejorar la detección temprana de intentos de suplantación de identidad y fomentar hábitos digitales más seguros en el trabajo cotidiano.

Durante la sesión, se analizaron los intentos de engaño más comunes que pueden dirigirse al personal de contratación, como la manipulación de facturas, la suplantación de responsables administrativos o el envío de correos electrónicos diseñados para parecer legítimos y se dieron algunas recomendaciones sencillas para evitar caer en mensajes fraudulentos, así como pautas para identificar señales que pueden pasar desapercibidas. El objetivo final es que el personal empleado público pueda actuar con mayor seguridad tanto en el ámbito profesional como en el personal.

 

CSIRT-CV participa en la ‘Jornada de Ciberseguridad ISACA Valencia 2025’

Nuestro compañero del equipo de Red Team de CSIRT-CV, Jorge Palma, participó en la Jornada de Ciberseguridad ISACA Valencia 2025 con la ponencia «Hacker Ético: licencia para hackear» . En ella abordó el panorama del mercado laboral en ciberseguridad y los pasos concretos para transformar la curiosidad técnica de los jóvenes en una carrera profesional con el objetivo de vivir de la ciberseguridad. El evento contó con la asistencia de más de 400 jóvenes, consolidándose como un punto de encuentro clave para el talento emergente en ciberseguridad. Puedes leer la noticia de Valencia Extra aquí.

 

Estafas online aprovechando el estreno de Avatar 3

El estreno de Avatar 3 ha generado un gran interés entre sus seguidores de la saga, una circunstancia que ha sido aprovechada por ciberdelincuentes para lanzar campañas de estafas en línea. Se ha detectado una campaña de suplantación de identidad de varios servicios de streaming en diferentes países, en la que se promete acceso gratuito para ver la película a cambio de datos personales. Recuerda: si algo parece demasiado bueno para ser verdad, probablemente no lo sea. ¡No piques!

 

Alertas de seguridad

A continuación, destacamos dos de las alertas de seguridad más relevantes del último mes, disponibles en el portal de CSIRT-CV:  

  • Vulnerabilidades en el kernel de Android: Android publicó varias vulnerabilidades, afectando algunas de ellas a componentes del kernel (o núcleo), que podrían permitir a un atacante lograr una denegación de servicio (DoS) remota.
  • Boletín de seguridad de Zoom: En su boletín de seguridad, Zoom corrigió diversas vulnerabilidades de distinta severidad que afectan a los clientes SDK y a los componentes VDI de Zoom Workplace.

 

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).

Posted on

Vulnerabilitat crítica en MongoDB

MongoDB ha alertat recentment els administradors de sistemes sobre l’existència d’una vulnerabilitat d’alta gravetat que podria ser explotada per a dur a terme atacs d’execució remota de codi (RCE) contra servidors vulnerables. Segons el fabricant, l’explotació d’esta fallada permetria a un atacant comprometre completament la instància afectada, per la qual cosa es recomana aplicar les actualitzacions de seguretat de manera immediata.

La vulnerabilitat, identificada com a CVE-2025-14847, es deu a un maneig inadequat de la inconsistència del paràmetre de longitud en el servidor MongoDB. Esta fallada pot ser explotada per atacants remots no autenticats, mitjançant atacs de baixa complexitat i sense interacció de l’usuari, que permeten l’execució de codi arbitrari i la possible presa de control del sistema.

Segons l’avís de seguretat de MongoDB, el problema està relacionat amb la implementació de la compressió zlib, i pot provocar l’exposició de memòria en monticle no inicialitzada durant el processament de determinades peticions. Una explotació exitosa podria afectar greument la confidencialitat, integritat i disponibilitat de les dades emmagatzemades en la base de dades.

Les versions afectades inclouen múltiples branques de MongoDB, des de versions recents fins a branques antigues encara desplegades en nombrosos entorns, la qual cosa incrementa el risc en sistemes no actualitzats.

Des de CSIRT-CV es recorda la importància de mantindre els sistemes actualitzats, especialment en servicis crítics com les bases de dades. MongoDB recomana actualitzar de manera immediata a una versió corregida. En aquells casos en els quals no siga possible aplicar el pedaç de manera immediata, s’aconsella deshabilitar temporalment la compressió zlib i reforçar els controls de xarxa, limitant l’exposició dels servidors MongoDB mitjançant firewalls i segmentació de xarxa. Així mateix, es recomana monitorar possibles indicadors de compromís després de l’aplicació de les mesures correctores.

Per a més informació tècnica i detalls oficials sobre esta vulnerabilitat, poden consultar-se les següents referències.

Referències:

 

https://jira.mongodb.org/browse/server-115508
https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

Posted on

Vulnerabilitat crítica en NVIDIA Isaac Launchable

NVIDIA ha publicat un butlletí de seguretat el desembre de 2025 en què alerta sobre la correcció de múltiples vulnerabilitats crítiques que afecten NVIDIA Isaac Launchable, una ferramenta utilitzada en entorns de robòtica i simulació. Segons el fabricant, l’explotació d’estes vulnerabilitats podria permetre a un atacant remot executar codi arbitrari, escalar privilegis, provocar denegacions de servici i manipular dades, de manera que comprometria greument els sistemes afectats.

El butlletí, actualitzat el 22 de desembre de 2025, detalla tres vulnerabilitats catalogades amb severitat crítica (CVSS 9.8) que afecten totes les versions anteriors a la 1.1. Les fallades identificades permeten la seua explotació a través de la xarxa, sense necessitat d’autenticació prèvia ni interacció per part de l’usuari, la qual cosa incrementa notablement el risc.

Entre les vulnerabilitats corregides es troben problemes derivats de l’ús de credencials predefinides i d’execucions amb privilegis innecessaris. En concret, les CVE CVE-2025-33222CVE-2025-33223 i CVE-2025-33224 podrien ser aprofitades per un atacant per a obtindre control total del sistema, de manera que afectaria la confidencialitat, integritat i disponibilitat dels entorns on s’utilitze Isaac Launchable.

Des de CSIRT-CV es recorda la importància de mantindre el programari actualitzat, especialment en ferramentes que operen en entorns crítics o exposats a xarxa. NVIDIA recomana actualitzar de manera immediata a la versió 1.1 o superior, així com revisar que no existisquen instàncies obsoletes desplegades en entorns productius o de proves. Així mateix, s’aconsella restringir l’accés als sistemes que executen Isaac Launchable i aplicar el principi de mínim privilegi.

Per a més informació tècnica i detalls oficials sobre estes vulnerabilitats, pot consultar-se l’avís de seguretat publicat per NVIDIA.

Referències:

https://nvidia.custhelp.com/app/answers/detail/a_id/5749