Fortinet advirtió recientemente a los usuarios sobre una grave vulnerabilidad de día cero que afecta a muchos productos. Como se reveló, existe una falla de omisión de autenticación en los firewalls FortiGate y los proxies web FortiProxy que fueron explotados activamente antes de un parche. Si bien los proveedores corrigieron la vulnerabilidad, los usuarios deben apresurarse a actualizar sus sistemas para evitar fallas.
Vulnerabilidad de omisión de autenticación de día cero de Fortinet
Según un aviso reciente de Fortinet, una vulnerabilidad de omisión de autenticación de gravedad crítica Enigma FortiOS, FortiProxy y FortiSwitchManager. La explotación de la falla requiere el envío de solicitudes HTTP o HTTPS malintencionadas, lo que le permite al adversario obtener privilegios de administrador.
A la vulnerabilidad, CVE-2022-40684, se le ha asignado una calificación de gravedad crítica con una puntuación CVSS de 9,8. Los editores también han confirmado que han detectado una explotación activa de la falla.
Al describir el problema, el aviso dice:
Una omisión de autenticación usando una ruta alternativa o una vulnerabilidad de canal [CWE-288] en FortiOS, FortiProxy y FortiSwitchManager pueden permitir que un atacante no autenticado realice operaciones en la interfaz administrativa a través de solicitudes HTTP o HTTPS especialmente diseñadas.
La falla afecta las versiones 7.0.0 a 7.0.6 y 7.2.0 a 7.2.1 de FortiOS, las versiones 7.0.0 a 7.0.6 y 7.2.0 de FortiProxy y las versiones 7.0.0 y 7.2.0 de FortiSwitchManager.
Fortinet solucionó el problema e implementó correcciones con actualizaciones de software posteriores al detectar la falla. Específicamente, las versiones parcheadas incluyen,
- FortiOS versión 7.0.7 o superior y 7.2.2 o superior
- FortiProxy versión 7.0.7 o superior y 7.2.1 o superior
- FortiSwitchManager versión 7.2.1 o superior
Los usuarios deben actualizar a estas versiones parcheadas lo antes posible para evitar intentos de explotación.
Sin embargo, cuando una actualización inmediata no está disponible, Fortinet ha compartido varias soluciones que los usuarios pueden implementar. Invitan a los usuarios a deshabilitar la interfaz de administración HTTP/HTTPS para los tres productos vulnerables. O bien, los usuarios de FortiOS y FortiProxy también pueden considerar limitar las direcciones IP que llegan a la interfaz de administración. Para ello, Fortinet ha compartido los pasos en el aviso.
El impacto de esta vulnerabilidad en los sistemas durante los intentos de explotación activos no está claro. Fortinet tampoco compartió detalles específicos sobre el exploit, dados los riesgos subyacentes. Sin embargo, un equipo de investigación separado ha compartido un PoC para la falla, instando a los usuarios a reparar sus sistemas lo antes posible.
Otro dispositivo roto…
CVE-2022-40684, afectando a varios #Fortinet soluciones, es una omisión de autenticación que permite a los atacantes remotos interactuar con todos los puntos finales de la API de administración.
Publicación de blog y POC a finales de esta semana. Correcto ahora. pic.twitter.com/YS7svIljAw
— Equipo de ataque de Horizon3 (@Horizon3Attack) 10 de octubre de 2022
Háganos saber sus pensamientos en los comentarios.
