Centro Nacional de Respuesta a Incidentes de Seguridad Informática

Fortinet ha publicado parches para solucionar 15 vulnerabilidades de seguridad, incluyendo una vulnerabilidad crítica que afecta a FortiOS y FortiProxy, que podría permitir ataques para tomar el control de los sistemas afectados.

Detalles técnicos

La vulnerabilidad, identificada como CVE-2023-25610, tiene una gravedad de 9,3 de 10 y fue descubierta internamente y reportada por los equipos de seguridad de Fortinet.

Se trata de una vulnerabilidad de "buffer underwrite" o "buffer underflow" que se encuentra en la interfaz administrativa de FortiOS y FortiProxy, la cual podría permitir ataques remotos y no autenticados para ejecutar código malicioso en el dispositivo y/o realizar un ataque de denegación de servicio en la GUI a través de solicitudes especialmente diseñadas.

Los errores de "buffer underflow" ocurren cuando los datos de entrada son más cortos que el espacio reservado, lo que puede causar un comportamiento impredecible o la filtración de datos sensibles de la memoria.

Entre las posibles consecuencias se encuentran la corrupción de memoria que podría utilizarse para provocar un fallo o ejecutar código malicioso arbitrario.

Fortinet afirma que no tiene constancia de que se hayan producido intentos de explotación malintencionada de la vulnerabilidad. Sin embargo, dado que en el pasado se han producido ataques activos contra otras vulnerabilidades de software, es esencial que las personas apliquen los parches lo antes posible.

Las versiones de FortiOS y FortiProxy que se ven afectadas por la vulnerabilidad son las siguientes:

• FortiOS versión 7.2.0 a 7.2.3
• FortiOS versión 7.0.0 a 7.0.9
• FortiOS versión 6.4.0 a 6.4.11
• FortiOS versión 6.2.0 a 6.2.12
• FortiOS 6.0 todas las versiones
• FortiProxy versión 7.2.0 a 7.2.2
• FortiProxy versión 7.0.0 a 7.0.8
• FortiProxy versión 2.0.0 a 2.0.12
• FortiProxy 1.2 todas las versiones
• FortiProxy 1.1 todas las versiones

Remediación

Los parches están disponibles en las siguientes versiones:

• FortiOS versiones 6.2.13, 6.4.12, 7.0.10, 7.2.4 y 7.4.0
• FortiOS-6K7K versiones 6.2.13, 6.4.12 y 7.0.10
• FortiProxy versiones 2.0.12, 7.0.9 y 7.0.9.

Como medidas temporales, Fortinet recomienda:

• Desactivar la interfaz administrativa HTTP/HTTPS O limitar las direcciones IP que pueden acceder a la interfaz administrativa.

• Crear un grupo de direcciones.

• Crear una política de entrada local para restringir el acceso solo al grupo predefinido en la interfaz de gestión.

• Si se utilizan puertos no predeterminados, crear un objeto de servicio apropiado para el acceso administrativo de GUI.

• Usar estos objetos en lugar de "HTTPS HTTP" en la política local-in.

• Si se utiliza una interfaz de gestión reservada para HA, la política local-in debe configurarse de manera ligeramente diferente.

Se recomienda contactar al soporte técnico para obtener asistencia adicional.

Recomendaciones

Aunque ninguna de las vulnerabilidades parcheadas se está explotando activamente, los dispositivos de Fortinet siguen siendo un objetivo atractivo para atacantes, debido a su amplia presencia en todo el mundo y su uso en infraestructuras críticas y de gran importancia.

Es importante que las personas de los productos de Fortinet tomen medidas para asegurarse de que sus dispositivos estén parcheados con las últimas actualizaciones de seguridad. También se recomienda a las organizaciones que implementen medidas de seguridad adicionales, como la autenticación multifactor y la segmentación de red, para proteger sus sistemas y datos contra posibles amenazas.

Referencias

• FortiOS / FortiProxy - Heap buffer underflow in administrative interface