Vulnerabilidad crítica de Fortinet FortiWeb
Fortinet ha publicado un boletín de seguridad para alertar de una vulnerabilidad (CVE-2016-4066) de cross-site request forgery (CSRF) en dispositivos FortiWeb. Explotando esta vulnerabilidad, un atacante podría modificar la contraseña administrativa de FortiWeb.
A quienes utilicen FortiWeb, se les recomienda actualizar a la versión FortWeb 5.5.3 o posterior.
Descripción
El problema con CVE-2016-4066 reside en un error de validación de las entradas del usuario que podría permitir a un atacante remoto realizar ataques de cross-site request forgery.
Cross-Site Request Forgery (CSRF) es un tipo de ataque que fuerza a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que se encuentra autenticado.
Los ataques del tipo CSRF están dirigidos a peticiones de cambio de estado, no así al robo de información, ya que el atacante no tiene forma de ver la respuesta a sus solicitudes. Si el atacante utiliza ingeniería social, como por ejemplo, el envío de un link via correo electrónico, puede engañar a los usuarios de una aplicación web para que ejecuten acciones a su elección. Si la víctima es un usuario con privilegios de administrador, CSRF podría llegar a comprometer la aplicación completamente.
Sistemas afectados:
Versiones anteriores de FortWeb 5.5.3.
Tipo de impacto:
Modificación de contraseña de usuario administrador.
Solución:
Para solucionarlo se debe actualizar a la versión FortWeb 5.5.3 o posterior.