Fortinet, Ivanti y SAP han implementado acciones para remediar vulnerabilidades críticas en sus productos, que si fueran explotadas, permitirían la elusión de la autenticación y la ejecución de código malicioso.

Vulnerabilidad crítica en Fortinet

Las fallas detectadas en Fortinet afectan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager, asociándose a una verificación inadecuada de una firma criptográfica. Se identifican como CVE-2025-59718 y CVE-2025-59719 (CVSS: 9.8).

«Una falla en la verificación de la firma criptográfica [CWE-347] en FortiOS, FortiWeb, FortiProxy y FortiSwitchManager podría permitir que un atacante no autenticado eluda la autenticación de inicio de sesión SSO de FortiCloud a través de un mensaje SAML manipulado, si esta función está habilitada en el dispositivo», indicó Fortinet.

La compañía aclaró que la función de inicio de sesión SSO de FortiCloud no está activada de manera predeterminada. Se activa cuando un administrador registra el dispositivo en FortiCare y no deshabilita la opción «Permitir inicio de sesión administrativo con FortiCloud SSO» en la página de registro.

Para mitigar los riesgos, se recomienda a las organizaciones desactivar la función de inicio de sesión de FortiCloud (si está habilitada) hasta que se lleven a cabo las actualizaciones pertinentes.

Ivanti emite corrección para falla crítica de EPM

Ivanti también ha lanzado actualizaciones para abordar cuatro vulnerabilidades en el Endpoint Manager (EPM), una de las cuales es una falla crítica en el núcleo de EPM y las consolas remotas. Esta vulnerabilidad, identificada como CVE-2025-10573, tiene una puntuación CVSS de 9.6.

«Los XSS almacenados en versiones anteriores de Ivanti Endpoint Manager permiten que un atacante remoto no autenticado ejecute JavaScript arbitrario en el contexto de una sesión administrativa», declaró Ivanti.

Ryan Emmons, investigador de seguridad en Rapid7, quien descubrió esta vulnerabilidad el 15 de agosto de 2025, explicó que esta permite que un atacante no autenticado conecte endpoints administrados falsos al servidor EPM, permitiendo la inyección de JavaScript malicioso en el panel del administrador.

«Cuando un administrador accede a una de las interfaces contaminadas del panel durante el uso normal, dicha acción pasiva activa la ejecución de JavaScript del lado del cliente, lo cual le otorga al atacante el control de la sesión del administrador», explicó Emmons.

Douglas McKee, director de inteligencia de vulnerabilidades en Rapid7, mencionó que la vulnerabilidad CVE-2025-10573 representa un riesgo significativo debido a su facilidad de explotación, que puede realizarse a través de un simple informe de dispositivo malicioso al servidor.

«Aunque el ataque se completa únicamente cuando un administrador accede al panel de control, esta es una tarea común y necesaria, lo que incrementa la probabilidad de activación del exploit durante las operaciones cotidianas, permitiendo al atacante tomar control de la sesión del administrador», agregó McKee.

Ensar Seker, CISO de la firma de inteligencia de amenazas SOCRadar, subrayó que la necesidad de interacción del usuario no minimiza el riesgo de la vulnerabilidad, la cual puede ser significativamente explotada en combinación con técnicas de ingeniería social.

«La ejecución remota de código mediante inyección de JavaScript es ahora una realidad viable en los ataques a la cadena de suministro», afirmó Seker. «Las organizaciones deben actuar con rapidez para aplicar parches y, más importante aún, establecer una limpieza rigurosa de la interfaz de usuario y una clara segmentación de privilegios».

Ivanti informó que la explotación de esta vulnerabilidad requiere interacción del usuario y que no tiene constancia de ataques activos. La vulnerabilidad ha sido corregida en la versión 2024 SU4 SR1 de EPM.

Además, esta misma versión corrige otras tres vulnerabilidades de alta gravedad (CVE-2025-13659, CVE-2025-13661 y CVE-2025-13662) que podrían permitir a un atacante remoto no autenticado ejecutar código arbitrario. CVE-2025-13662, al igual que CVE-2025-59718 y CVE-2025-59719, resulta de una verificación incorrecta de las firmas criptográficas en el módulo de gestión de parches.

SAP corrige tres vulnerabilidades críticas

Finalmente, SAP ha lanzado actualizaciones de seguridad en diciembre para abordar 14 vulnerabilidades en varios productos, incluyendo tres críticas. Se detallan a continuación:

  • CVE-2025-42880 (CVSS: 9.9): Inyección de código en SAP Solution Manager
  • CVE-2025-55754 (CVSS: 9.6): Múltiples vulnerabilidades en Apache Tomcat dentro de SAP Commerce Cloud
  • CVE-2025-42928 (CVSS: 9.1): Vulnerabilidad de deserialización en SAP jConnect SDK para Sybase Adaptive Server Enterprise (ASE)

La plataforma de seguridad SAP, Onapsis, ha sido responsable de reportar las vulnerabilidades CVE-2025-42880 y CVE-2025-42928. La empresa indicó que identificó un módulo de función remota en SAP Solution Manager que permite a un atacante autenticado inyectar código arbitrario.

«Dado el rol esencial de SAP Solution Manager en el ecosistema de sistemas SAP, es crucial aplicar el parche de forma oportuna», afirmó Thomas Fritsch, investigador de seguridad de Onapsis.

Por otro lado, CVE-2025-42928 permite la ejecución remota de código al enviar una entrada especialmente diseñada al componente SAP jConnect SDK. Sin embargo, su explotación exitosa requiere privilegios elevados.

Debido a la frecuencia con la que los actores maliciosos explotan vulnerabilidades en el software de Fortinet, Ivanti y SAP, es imperativo que los usuarios tomen acciones rápidas para aplicar las correcciones.

Fuente: THN


Con Información de blog.segu-info.com.ar