¡Atención usuarios de Fortinet! Los proveedores han reparado numerosas vulnerabilidades de seguridad graves en los dispositivos Fortinet FortiADc y FortiTester. Los parches llegan con las últimas actualizaciones de firmware que solicitan a los usuarios que actualicen sus respectivos dispositivos.
Vulnerabilidades de Fortinet FortiADC y FortiTester
El gigante de la ciberseguridad Fortinet reveló recientemente múltiples vulnerabilidades que afectan a sus productos. Las vulnerabilidades generalmente afectaron su FortiADC (controlador de entrega de aplicaciones) y FortiTester (hardware de prueba de dispositivos de red).
Los proveedores no compartieron muchos detalles sobre las vulnerabilidades de seguridad, pero describieron brevemente los problemas junto con la lista detallada de los productos afectados.
Específicamente, Fortinet mencionó la detección de varias vulnerabilidades de inyección de comandos en la interfaz web de FortiADC.
Según su opinión, el error existió debido a la desactivación incorrecta de elementos especiales utilizados en un comando del sistema operativo. La explotación de la falla podría permitir que un adversario no autenticado acceda a la interfaz web para ejecutar comandos a través de solicitudes HTTP especialmente diseñadas.
Fortinet etiquetó la falla, CVE-2022-39947, una vulnerabilidad de alta gravedad que recibió una puntuación CVSS de 8,6. Los productos afectados incluyen las versiones 7.0.0 a 7.0.1 de FortiADC, 6.2.0 a 6.2.3, 5.4.0 a 5.4.5 y todas las versiones 6.1 y 6.0 de FortiADC.
De manera similar, los proveedores compartieron otro aviso que destaca las vulnerabilidades en el dispositivo FortiTester. Como se describió, encontraron numerosas vulnerabilidades de inyección de comandos en la GUI y la API debido a la desactivación incorrecta de elementos especiales en los comandos del sistema operativo. La explotación de la falla podría permitir que un atacante no autenticado ejecute comandos arbitrarios en el shell.
Fortinet ha descrito la vulnerabilidad CVE-2022-35845 como un problema de gravedad alta (CVSS 7.6) que afecta a FortiTester 7.1.0, 7.0 todas las versiones, 4.0.0 a 4.2.0 y 2.3.0 a 3.9.1.
Fortinet lanzó las correcciones de errores
El proveedor de seguridad dio crédito a los miembros de su equipo de seguridad de productos, Gwendal Guégniaud y Wilfried Djettchou, por descubrir y reportar las vulnerabilidades de FortiADC y FortiTester, respectivamente.
Tras los informes de errores, Fortinet solucionó las vulnerabilidades con actualizaciones de productos posteriores. Por lo tanto, los usuarios deben actualizar a las siguientes versiones para recibir las correcciones.
- FortiADC 7.0.2 o superior, 6.2.4 o superior y 5.4.6 o superior.
- FortiTester versión 7.2.0 o superior, 7.1.1 o superior, 4.2.1 o superior y 3.9.2 o superior
Háganos saber sus pensamientos en los comentarios.
