FORTINET ADVIERTE SOBRE NUEVA VULNERABILIDAD RCE CRITICA NO AUTENTICADA

Fortinet ha revelado una vulnerabilidad “crítica” que afecta a FortiOS y FortiProxy, que permite a un atacante no autenticado ejecutar código arbitrario o realizar una denegación de servicio (DoS) en la GUI de dispositivos vulnerables mediante solicitudes especialmente diseñadas.

Esta vulnerabilidad de subdesbordamiento del búfer se rastrea como CVE-2023-25610 y tiene una puntuación CVSS v3 de 9,3, lo que la califica como crítica. Este tipo de falla ocurre cuando un programa intenta leer más datos de un búfer de memoria de los que están disponibles, lo que resulta en el acceso a ubicaciones de memoria adyacentes, lo que provoca un comportamiento arriesgado o bloqueos.

El  aviso de seguridad  publicado ayer por Fortinet dice que no tiene conocimiento de ningún caso de explotación activa en la naturaleza en este momento, y afecta a los siguientes productos:

• FortiOS versión 7.2.0 a 7.2.3
• FortiOS versión 7.0.0 a 7.0.9
• FortiOS versión 6.4.0 a 6.4.11
• FortiOS versión 6.2.0 a 6.2.12
• FortiOS 6.0, todas las versiones
• FortiProxy versión 7.2.0 a 7.2.2
• FortiProxy versión 7.0.0 a 7.0.8
• FortiProxy versión 2.0.0 a 2.0.11
• FortiProxy 1.2, todas las versiones
• FortiProxy 1.1, todas las versiones

Fortinet dice que cincuenta modelos de dispositivos, enumerados en el boletín de seguridad, no se ven afectados por el componente de ejecución de código arbitrario de la falla, sino solo por la parte de denegación de servicio, incluso si ejecutan una versión vulnerable de FortiOS.

Los modelos de dispositivos que no figuran en el aviso son vulnerables a ambos problemas, por lo que los administradores deben aplicar las actualizaciones de seguridad disponibles lo antes posible.

Para aquellos que no pueden aplicar las actualizaciones, Fortinet sugiere la solución alternativa de deshabilitar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP que pueden acceder a ella de forma remota.

Las instrucciones sobre cómo aplicar las soluciones alternativas, que también cubren casos de uso de puertos no predeterminados, se incluyen en el aviso de seguridad.

Los actores de amenazas están atentos a las fallas de gravedad crítica que afectan los productos de Fortinet, especialmente aquellos que no requieren autenticación para explotar, ya que proporcionan un método para obtener acceso inicial a las redes corporativas. Debido a esto, es imperativo mitigar esta vulnerabilidad rápidamente.

Por ejemplo, el 16 de febrero,  Fortinet solucionó  dos fallas críticas de ejecución remota de código que afectaban a los productos FortiNAC y FortiWeb, y pidió a los usuarios que aplicaran las actualizaciones de seguridad de inmediato.

Un  exploit de prueba de concepto funcional  para aprovechar la falla se hizo público solo cuatro días después, y  la explotación activa en la naturaleza  comenzó el 22 de febrero de 2023.