Fortinet advierte sobre la nueva vulnerabilidad crítica no autenticada de RCE

Fortinet advierte sobre la nueva vulnerabilidad crítica no autenticada de RCE

Fortinet ha revelado una vulnerabilidad "crítica" que afecta a FortiOS y FortiProxy, que permite a un atacante no autenticado ejecutar código arbitrario o realizar la denegación de servicio ( DoS ) en la GUI de dispositivos vulnerables utilizando solicitudes especialmente diseñadas.

Esta vulnerabilidad de flujo insuficiente del búfer se rastrea como CVE-2023-25610 y tiene un puntaje CVSS v3 de 9.3, calificándolo como crítico. Este tipo de falla ocurre cuando un programa intenta leer más datos de un búfer de memoria de los que están disponibles, lo que resulta en el acceso a ubicaciones de memoria adyacentes, lo que lleva a un comportamiento riesgoso o fallas.

Los aviso de seguridad publicado ayer por Fortinet dice que no tiene conocimiento de ningún caso de explotación activa en la naturaleza en este momento, y afecta a los siguientes productos:

• FortiOS versión 7.2.0 a 7.2.3
• FortiOS versión 7.0.0 a 7.0.9
• FortiOS versión 6.4.0 a 6.4.11
• FortiOS versión 6.2.0 a 6.2.12
• FortiOS 6.0, todas las versiones
• FortiProxy versión 7.2.0 a 7.2.2
• FortiProxy versión 7.0.0 a 7.0.8
• FortiProxy versión 2.0.0 a 2.0.11
• FortiProxy 1.2, todas las versiones
• FortiProxy 1.1, todas las versiones

Las versiones de actualización de destino que corrigen la vulnerabilidad CVE-2023-25610 son:

• FortiOS versión 7.4.0 o superior
• FortiOS versión 7.2.4 o superior
• FortiOS versión 7.0.10 o superior
• FortiOS versión 6.4.12 o superior
• FortiOS versión 6.2.13 o superior
• FortiProxy versión 7.2.3 o superior
• FortiProxy versión 7.0.9 o superior
• FortiProxy versión 2.0.12 o superior
• FortiOS-6K7K versión 7.0.10 o superior
• FortiOS-6K7K versión 6.4.12 o superior
• FortiOS-6K7K versión 6.2.13 o superior

Fortinet dice que cincuenta modelos de dispositivos, enumerados en el boletín de seguridad, no se ven afectados por el componente arbitrario de ejecución de código de la falla, sino solo por la parte de denegación de servicio, incluso si ejecutan una versión vulnerable de FortiOS.

Los modelos de dispositivos que no figuran en el aviso son vulnerables a ambos problemas, por lo que los administradores deben aplicar las actualizaciones de seguridad disponibles lo antes posible.

Para aquellos que no pueden aplicar las actualizaciones, Fortinet sugiere la solución de deshabilitar la interfaz administrativa HTTP / HTTPS o limitar las direcciones IP que pueden acceder a ella de forma remota.

Las instrucciones sobre cómo aplicar las soluciones alternativas, que también cubren casos de uso de puertos no predeterminados, se incluyen en el aviso de seguridad.

Los actores de amenazas vigilan los defectos de gravedad crítica que afectan a los productos de Fortinet, especialmente aquellos que no requieren autenticación para explotar, ya que proporcionan un método para obtener acceso inicial a las redes corporativas. Debido a esto, es imperativo mitigar esta vulnerabilidad rápidamente.

Por ejemplo, el 16 de febrero, Fortinet fijo dos fallas críticas de ejecución remota de código que afectan los productos FortiNAC y FortiWeb, llamando a los usuarios a aplicar las actualizaciones de seguridad de inmediato.

Un trabajo exploit de prueba de concepto aprovechar la falla se hizo público solo cuatro días después, y explotación activa en la naturaleza comenzó el 22 de febrero de 2023.