Fecha de publicación: Lun, 10/10/2022 - 11:23

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Identificada con CVE-2022-40684, se trata de una vulnerabilidad de omisión de autenticación crítica que recibió una puntuación CVSSv3 de 9,6, la cual consiste en que si se envían solicitudes HTTP o HTTPS especialmente diseñadas a un objetivo vulnerable, un atacante remoto con acceso a la interfaz de administración podría eludir la autenticación y obtener acceso a la interfaz administrativa de estos productos sin autenticación.

Fortinet ha recomendado que la vulnerabilidad se solucione "con la máxima urgencia" debido a la inclinación de los actores de amenaza por atacar vulnerabilidades de FortiOS.

Las vulnerabilidades que afectan a los dispositivos en el borde de las redes corporativas se encuentran entre las más buscadas por los actores de amenazas porque conducen a la violación del perímetro, y CVE-2022-40684 permite exactamente esto.

Recursos afectados

  • FortiOS 7.0.0 a 7.0.6 // 7.2.0 a 7.2.1
  • FortiProxy 7.0.0 a 7.0.6  // 7.2.0
  • FortiSwitchManager 7.0.0 // 7.2.0

Solución

Fortinet publicó las siguientes versiones dónde la vulnerabilidad fue solucionada:

Producto Versiones Vulnerables Versión solucionada
FortiOS

7.0.0 a 7.0.6

7.2.0 a 7.2.1

7.0.7

7.2.2

FortiProxy

7.0.0 a 7.0.6

7.2.0

7.0.7

7.2.1

FortiSwitchManager

7.0.0

7.2.0

7.2.1

 

En caso de no poder aplicar los parches de forma inmediata, Fortinet establece usar una política local para limitar el acceso a la interfaz de administración. Fortinet también incluye pasos para deshabilitar el acceso administrativo a la interfaz orientada a Internet y pasos para restringir el acceso a hosts confiables en su Guía de fortalecimiento de FortiGate.

Recomendaciones

Se recomienda aplicar los parches de seguridad en la brevedad posible.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes la falla de Fortinet a su catálogo de Vulnerabilidades Explotadas Conocidas, sugiriendo que apliquen parches antes del 1 de noviembre de 2022.

Referencias

Hackernews

Alerta Tenable