Fecha de publicación: 15/03/2024
Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, informa que la compañía Fortinet, ha publicado cuatro avisos de seguridad en los que se alerta de 5 vulnerabilidades, teniendo tres de ellas una severidad crítica, mientras que a las demás vulnerabilidades se les ha asignado una puntuación alta, que afectan a su sistema operativo, FortiOS, a FortiProxy, proxy web que protege ante ataques procedentes de Internet y la solución de administración de seguridad FortiClientEMS.
Las vulnerabilidades destacadas, descubiertas por los investigadores Gwendal Guégniaud, Thiago Santana y Kai Ni, permiten la ejecución de código arbitrario, la ejecución de comandos arbitrarios y la inyección de código SQL, pudiendo comprometer de esta manera el sistema de destino, incidiendo directamente sobre la confidencialidad, disponibilidad e integridad de los equipos vulnerables.
Common Vulnerabilities and Exposures
A continuación, se detallan las especificaciones técnicas relativas a las vulnerabilidades reportadas en el aviso de severidad crítica que afectan a los productos Fortinet:
CVE-2023-42789 y CVE-2023-42790: Vulnerabilidades que debido a un boundary error al procesar peticiones HTTP podría provocar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en el sistema de destino.
CVE-2023-48788: Vulnerabilidad causada por un saneamiento insuficiente de los datos suministrados por el usuario dentro del componente DAS. Un atacante remoto no autenticado podría enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios en la base de datos de la aplicación.
La base de datos del NIST ha registrado las vulnerabilidades descritas, aunque aún no se les ha asignado una puntuación de acuerdo a la escala CVSSv3. Fortinet, sin embargo, ha asignado a los fallos CVE-2023-42789, CVE-2023-42790 y CVE-2023-48788 una severidad crítica, mientras que los demás tienen una severidad alta. Actualmente, no se conoce actividad dañina en la red ni la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado.
Recursos afectados
Las vulnerabilidades reportadas afectan a los siguientes productos y a las versiones correspondientes:
Versiones de FortiOS:
- 7.4.0-7.4.1
- 7.2.0-7.2.6
- 7.0.0-7.0.13
- 6.4.0-6.4.14
- 6.2.0-6.2.15
Versiones de FortiProxy:
- 7.4.0 - 7.4.2
- 7.2.0 - 7.2.8
- 7.0.0 - 7.0.14
- 2.0.0 - 2.0.13
Versiones de FortiClientEMS:
- 7.2.0-7.2.2
- 7.0.0-7.0.10
- Todas las versiones 6.4
- Todas las versiones 6.2
- Todas las versiones 6.0
Solución a las vulnerabilidades
Con la publicación de las últimas actualizaciones de seguridad, Fortinet ha corregido las vulnerabilidades descritas. Desde la compañía se recomienda actualizar a las versiones destacadas:
Para los productos FortiOS:
- Actualizar a FortiOS versión 7.4.2 o superior.
- Actualizar a FortiOS versión 7.2.7 o superior.
- Actualizar a FortiOS versión 7.0.14 o superior.
- Actualizar a FortiOS versión 6.4.15 o superior.
- Actualizar a FortiOS versión 6.2.16 o superior.
Para los productos FortiProxy:
- Actualizar a FortiProxy versión 7.4.3 o superior.
- Actualizar a FortiProxy versión 7.2.9 o superior.
- Actualizar a FortiProxy versión 7.0.15 o superior.
- Actualizar a FortiProxy versión 2.0.14 o superior.
Para los productos FortiClientEMS:
- Actualizar a FortiClientEMS versión 7.2.3 o superior.
- Actualizar a FortiClientEMS versión 7.0.11 o superior.
- Para las demás versiones afectadas, se recomienda migrar a una versión actualizada de FortiClientEMS.
Se recomienda seguir la ruta de actualización recomendada por la herramienta proporcionada por Fortinet.
Adicionalmente, Fortinet ha proporcionado medidas de mitigación alternativas de seguridad que deberán ser implementadas por aquellos administradores de sistemas que no sean capaces de aplicar las actualizaciones descritas.
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Referencias
- FortiOS & FortiProxy - Out-of-bounds Write in captive portal
- FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
- Pervasive SQL injection in DAS component
- FortiClientEMS - CSV injection in log download feature
Atentamente,
Equipo CCN-CERT
