Blog
CVE‑2024‑55591 es una vulnerabilidad crítica de omisión de autenticación (CWE‑288) detectada en FortiOS (v7.0.0–7.0.16) y FortiProxy (v7.0.0–7.0.19 y 7.2.0–7.2.12). Permite que un atacante remoto no autenticado acceda como super‑administrador a través de solicitudes manipuladas al módulo Node.js WebSocket integrado en las interfaces de gestión. Publicado el 14 de enero de 2025 y catalogado con un CVSS 3.1 de 9.8 (Crítico), fue incluido el mismo día en el CISA KEV (Catálogo de vulnerabilidades explotadas en libertad), con orden de parche antes del 21 de enero de 2025.
El contexto es especialmente grave: Fortinet es proveedor clave de firewalls perimetrales —y esta vulnerabilidad ya está siendo explotada en entornos reales, incluyendo campañas de ransomware como Qilin y LockBit.
La vulnerabilidad reside en el módulo WebSocket (jsconsole) dentro de la interfaz de gestión de FortiOS/Proxy. Este módulo permite conexiones remotas para administrar el dispositivo mediante navegador. El fallo habilita una ruta alterna de autenticación que el atacante puede invocar mediante solicitudes WebSocket especialmente formateadas, sin necesidad de credenciales.
La técnica técnica implica enviar paquetes iniciales que, mediante condiciones de competición (race conditions), omiten el chequeo de credenciales. Esto deriva en una conexión ya validada con privilegios de super_admin. Esta ejecución se logra sin intervención del usuario ni interacción previa .
Sí, ya se explota activamente. Investigaciones como las de Arctic Wolf y Rapid7 detectaron inicios de sesión en el módulo jsconsole desde direcciones IP externas, creación de usuarios administrativos, habilitación de VPNs SSL y cambios en políticas del firewall.
Una prueba de concepto (PoC) en GitHub (watchtowrlabs/fortios-auth-bypass-poc-CVE-2024-55591) ejemplifica el ataque: el script envía comandos CLI sin autenticarse, mostrando cómo se aprovecha el fallo. Por ejemplo, permite ejecutar:
bash
python CVE-2024-55591-PoC.py --host 192.168.1.5 --port 443 --command "get system status"
El atacante recibe respuestas CLI como si estuviera autenticado: esto confirma que la autenticación fue omitida y que el adversario tiene control total sobre el dispositivo .
Fortinet también publicó un workaround detallado para local-in-policy que minimiza temporalmente el riesgo hasta aplicar el patch.
El CVE‑2024‑55591 representa una amenaza crítica en infraestructuras perimetrales, pues permite a un atacante con un simple script obtener control total sobre un firewall sin credenciales. La explotación activa en campañas de ransomware demuestra su gravedad. La solución inmediata: actualizar el firmware y reforzar accesos administrativos con políticas de red y monitoreo.
Técnicamente, esta vulnerabilidad evidencia la creciente sofisticación en la combinación de Node.js, WebSocket y rutas administrativas de dispositivos. De cara al futuro, subraya la necesidad de:
En resumen, CVE‑2024‑55591 es una lección sobre cómo un fallo en un componente aparentemente menor puede comprometer completamente un perímetro empresarial. La respuesta rápida del equipo de Fortinet y las medidas urgentes son clave para evitar daños mayores.
