Vulnerabilidades

Vulnerabilidades en productos de Fortinet

14/03/2023
Se encontraron vulnerabilidades en los productos de Fortinet que pueden permitir ataques para tomar el control de los sistemas afectados y acceder a información confidencial. Se recomienda actualizar los dispositivos de Fortinet a la última versión del firmware para parchear las vulnerabilidades. Aunque actualmente no se tiene conocimiento que estén explotando activamente estas vulnerabilidades, es importante tomar medidas preventivas para evitar futuros ataques.
Logo de Fortinet

Fortinet ha publicado parches para solucionar 15 vulnerabilidades de seguridad, incluyendo una vulnerabilidad crítica que afecta a FortiOS y FortiProxy, que podría permitir ataques para tomar el control de los sistemas afectados.

Detalles técnicos

La vulnerabilidad, identificada como CVE-2023-25610, tiene una gravedad de 9,3 de 10 y fue descubierta internamente y reportada por los equipos de seguridad de Fortinet.

Se trata de una vulnerabilidad de "buffer underwrite" o "buffer underflow" que se encuentra en la interfaz administrativa de FortiOS y FortiProxy, la cual podría permitir ataques remotos y no autenticados para ejecutar código malicioso en el dispositivo y/o realizar un ataque de denegación de servicio en la GUI a través de solicitudes especialmente diseñadas.

Los errores de "buffer underflow" ocurren cuando los datos de entrada son más cortos que el espacio reservado, lo que puede causar un comportamiento impredecible o la filtración de datos sensibles de la memoria.

Entre las posibles consecuencias se encuentran la corrupción de memoria que podría utilizarse para provocar un fallo o ejecutar código malicioso arbitrario.

Fortinet afirma que no tiene constancia de que se hayan producido intentos de explotación malintencionada de la vulnerabilidad. Sin embargo, dado que en el pasado se han producido ataques activos contra otras vulnerabilidades de software, es esencial que las personas apliquen los parches lo antes posible.

Las versiones de FortiOS y FortiProxy que se ven afectadas por la vulnerabilidad son las siguientes:

  • FortiOS versión 7.2.0 a 7.2.3
  • FortiOS versión 7.0.0 a 7.0.9
  • FortiOS versión 6.4.0 a 6.4.11
  • FortiOS versión 6.2.0 a 6.2.12
  • FortiOS 6.0 todas las versiones
  • FortiProxy versión 7.2.0 a 7.2.2
  • FortiProxy versión 7.0.0 a 7.0.8
  • FortiProxy versión 2.0.0 a 2.0.12
  • FortiProxy 1.2 todas las versiones
  • FortiProxy 1.1 todas las versiones

Remediación

Los parches están disponibles en las siguientes versiones:

  • FortiOS versiones 6.2.13, 6.4.12, 7.0.10, 7.2.4 y 7.4.0
  • FortiOS-6K7K versiones 6.2.13, 6.4.12 y 7.0.10
  • FortiProxy versiones 2.0.12, 7.0.9 y 7.0.9.

Como medidas temporales, Fortinet recomienda:

  • Desactivar la interfaz administrativa HTTP/HTTPS O limitar las direcciones IP que pueden acceder a la interfaz administrativa.

 

config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end

 

  • Crear un grupo de direcciones.

config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end

  • Crear una política de entrada local para restringir el acceso solo al grupo predefinido en la interfaz de gestión.

config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end

  • Si se utilizan puertos no predeterminados, crear un objeto de servicio apropiado para el acceso administrativo de GUI.

config firewall service custom
edit GUI_HTTPS
set tcp-portrange <admin-sport>
next
edit GUI_HTTP
set tcp-portrange <admin-port>
end

  • Usar estos objetos en lugar de "HTTPS HTTP" en la política local-in.

  • Si se utiliza una interfaz de gestión reservada para HA, la política local-in debe configurarse de manera ligeramente diferente.

Se recomienda contactar al soporte técnico para obtener asistencia adicional.

Recomendaciones

Aunque ninguna de las vulnerabilidades parcheadas se está explotando activamente, los dispositivos de Fortinet siguen siendo un objetivo atractivo para atacantes, debido a su amplia presencia en todo el mundo y su uso en infraestructuras críticas y de gran importancia.

Es importante que las personas de los productos de Fortinet tomen medidas para asegurarse de que sus dispositivos estén parcheados con las últimas actualizaciones de seguridad. También se recomienda a las organizaciones que implementen medidas de seguridad adicionales, como la autenticación multifactor y la segmentación de red, para proteger sus sistemas y datos contra posibles amenazas.

Referencias

Etiquetas

Amenazas y alertas Comunidad Técnica