Vulnerabilidades en Fortinet 2024

Fortinet lanza actualizaciones de seguridad de forma periódica para abordar múltiples vulnerabilidades detectadas en versiones anteriores. Estas vulnerabilidades, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas por Fortinet durante este año. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad de los distintos dispositivos de seguridad, por lo que es vital que todos los usuarios actualicen sus dispositivos periódicamente.

Vulnerabilidades en Fortinet 10 de abril 2024

INTRODUCCIÓN

Fortinet ha publicado varios avisos que afectan a varios productos. En caso de explotación, estas vulnerabilidades podrían permitir a un atacante ejecutar código.

ANÁLISIS

CVE-2024-21755 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Una neutralización incorrecta de elementos especiales utilizados en un comando os ('os command injection') en Fortinet FortiSandbox permite a un atacante ejecutar código o comandos no autorizados a través de peticiones crafteadas.

CVE-2024-21756 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8.8:

Una neutralización incorrecta de elementos especiales utilizados en un comando os ('os command injection') en Fortinet FortiSandbox permite a un atacante ejecutar código o comandos no autorizados a través de peticiones crafteadas.

CVE-2023-45590 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9.6:

Una vulnerabilidad de Control Impropio de Generación de Código ('Inyección de Código') [CWE-94] en FortiClientLinux puede permitir a un atacante no autenticado ejecutar código arbitrario a través de engañar a un usuario de FortiClientLinux para que visite un sitio web malicioso.

CVE-2023-41677 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H - 7.5:

Una vulnerabilidad de credenciales insuficientemente protegidas (CWE-522) en FortiOS y FortiProxy puede permitir a un atacante obtener la cookie del administrador en condiciones raras y específicas, a través de engañar al administrador para que visite un sitio web malicioso controlado por el atacante a través de la SSL-VPN.

VERSIONES AFECTADAS

• FortiOS 7.4            7.4.0 a 7.4.1
• FortiOS 7.2            7.2.0 a 7.2.6
• FortiOS 7.0            7.0.0 a 7.0.12
• FortiOS 6.4            6.4.0 a 6.4.14
• FortiOS 6.2            6.2.0 a 6.2.15
• FortiOS 6.0            6.0 todas las versiones
• FortiProxy 7.4         7.4.0 a 7.4.1
• FortiProxy 7.2         7.2.0 a 7.2.7
• FortiProxy 7.0         7.0.0 a 7.0.13
• FortiProxy 2.0         2.0 todas las versiones
• FortiProxy 1.2         1.2 todas las versiones
• FortiProxy 1.1         1.1 todas las versiones
• FortiProxy 1.0         1.0 todas las versiones
• FortiSandbox 4.4      4.4.0 a 4.4.3
• FortiSandbox 4.2      4.2.0 a 4.2.6
• FortiSandbox 4.0      4.0.0 a 4.0.4
• FortiClientLinux 7.2  7.2.0
• FortiClientLinux 7.0  7.0.6 a 7.0.10
• FortiClientLinux 7.0  7.0.3 a 7.0.4

RECOMENDACIONES

• FortiOS 7.4                 Actualice a la versión 7.4.2 o superior.
• FortiOS 7.2                 Actualice a la versión 7.2.7 o superior
• FortiOS 7.0                 Actualice a la versión 7.0.13 o superior
• FortiOS 6.4                 Actualice a la versión 6.4.15 o superior
• FortiOS 6.2                 Actualice a la versión 6.2.16 o superior
• FortiOS 6.0                 Migre a una versión estable
• FortiProxy 7.4             Actualice a la versión 7.4.2 o superior
• FortiProxy 7.2             Actualice a la versión 7.2.8 o superior
• FortiProxy 7.0             Actualice a la versión 7.0.14 o superior
• FortiProxy 2.0             Migre a una versión estable
• FortiProxy 1.2             Migre a una versión estable
• FortiProxy 1.1             Migre a una versión estable
• FortiProxy 1.0             Migre a una versión estable
• FortiSandbox 4.4        Actualice a la versión 4.4.4 o superior
• FortiSandbox 4.2        Actualice a la versión 4.2.7 o superior
• FortiSandbox 4.0        Actualice a la versión 4.0.5 o superior
• FortiClientLinux 7.2    Actualice a la versión 7.2.1 o superior
• FortiClientLinux 7.0    Actualice a la versión 7.0.11 o superior

REFERENCIAS

https://fortiguard.com/psirt/FG-IR-23-489

https://nvd.nist.gov/vuln/detail/CVE-2024-21755

https://nvd.nist.gov/vuln/detail/CVE-2024-21756 
https://www.fortiguard.com/psirt/FG-IR-23-087 

https://nvd.nist.gov/vuln/detail/CVE-2023-45590

https://www.fortiguard.com/psirt/FG-IR-23-493

https://nvd.nist.gov/vuln/detail/CVE-2023-41677

Vulnerabilidades en Fortinet 13 de marzo 2024

INTRODUCCIÓN

Este aviso de seguridad aborda múltiples vulnerabilidades críticas encontradas en varios productos de Fortinet. Estas vulnerabilidades, si son explotadas, podrían permitir a un atacante ejecutar código no autorizado o comandos, lo que representa un riesgo significativo para los usuarios afectados.

ANÁLISIS

CVE-2023-42789 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C - 9.3:

Una escritura fuera de límites en Fortinet FortiOS 7.4.0 a 7.4.1, 7.2.0 a 7.2.5, 7.0.0 a 7.0.12, 6.4.0 a 6.4.14, 6.2.0 a 6.2.15, FortiProxy 7.4.0, 7.2.0 a 7.2.6, 7.0.0 a 7.0.12, 2.0.0 a 2.0.13 permite a un atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP especialmente diseñadas.

CVE-2023-42790 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C - 8.1:

Un desbordamiento de búfer basado en pila en Fortinet FortiOS 7.4.0 a 7.4.1, 7.2.0 a 7.2.5, 7.0.0 a 7.0.12, 6.4.0 a 6.4.14, 6.2.0 a 6.2.15, FortiProxy 7.4.0, 7.2.0 a 7.2.6, 7.0.0 a 7.0.12, 2.0.0 a 2.0.13 permiten a un atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP especialmente diseñadas.

CVE-2023-47534 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H/E:P/RL:U/RC:R - 8.7:

Una neutralización inadecuada de elementos de fórmula en un archivo csv en Fortinet FortiClientEMS versión 7.2.0 hasta 7.2.2, 7.0.0 hasta 7.0.10, 6.4.0 hasta 6.4.9, 6.2.0 hasta 6.2.9, 6.0.0 hasta 6.0.8 permite al atacante ejecutar código o comandos no autorizados a través de paquetes especialmente diseñados.

CVE-2023-48788 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C - 9.3:

Una neutralización inadecuada de elementos especiales utilizados en un comando sql ("inyección sql") en Fortinet FortiClientEMS versión 7.2.0 a 7.2.2, FortiClientEMS 7.0.1 a 7.0.10 permite a un atacante ejecutar código o comandos no autorizados a través de paquetes especialmente diseñados.

CVE-2023-36554 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1:

Una vulnerabilidad de control de acceso incorrecto [`CWE-284]` en FortiWLM MEA para FortiManager puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes específicamente diseñadas.

VERSIONES AFECTADAS

• FortiOS versión 7.4.0 a 7.4.1
• FortiOS versión 7.2.0 a 7.2.5
• FortiOS Versión 7.0.0 a 7.0.12
• FortiOS versión 6.4.0 a 6.4.14
• FortiOS versión 6.2.0 a 6.2.15
• FortiProxy versión 7.4.0
• FortiProxy versión 7.2.0 a 7.2.6
• FortiProxy versión 7.0.0 a 7.0.12
• FortiProxy versión 2.0.0 a 2.0.13
• FortiClientEMS 7.2 a 7.2.2
• FortiClientEMS 7.0 a 7.0.10
• FortiClientEMS 6.4 todas las versiones
• FortiClientEMS 6.2 todas las versiones
• FortiClientEMS 6.0 todas las versiones
• FortiManager versión 7.4.0
• FortiManager versión 7.2.0 a 7.2.3
• FortiManager versión 7.0.0 a 7.0.10
• FortiManager versión 6.4.0 a 6.4.13
• FortiManager 6.2 todas las versiones

RECOMENDACIONES

• Actualizar a FortiOS versión 7.4.2 o superior
• Actualizar a FortiOS versión 7.2.6 o superior
• Actualizar a FortiOS versión 7.0.13 o superior
• Actualizar a FortiOS versión 6.4.15 o superior
• Actualizar a FortiOS versión 6.2.16 o superior
• Actualizar a FortiProxy versión 7.4.1 o superior
• Actualizar a FortiProxy versión 7.2.7 o superior
• Actualizar a FortiProxy versión 7.0.13 o superior
• Actualizar a FortiProxy versión 2.0.14 o superior
• Actualizar a FortiClientEMS 7.2.3 o superior
• Actualizar a FortiClientEMS 7.0.11 o superior
• Migrar FortiClientEMS 6.0, 6.2 y 6.4 a una versión fija
• Actualizar a FortiManager versión 7.4.1 o superior
• Actualizar a FortiManager versión 7.2.4 o superior
• Actualizar a FortiManager versión 7.0.11 o superior
• Actualizar a FortiManager versión 6.4.14 o superior

REFERENCIAS

https://fortiguard.com/psirt/FG-IR-23-328 
https://www.fortiguard.com/psirt/FG-IR-23-390 
https://www.fortiguard.com/psirt/FG-IR-23-430 

https://www.fortiguard.com/psirt/FG-IR-23-103

https://www.fortiguard.com/psirt/FG-IR-24-007 
https://nvd.nist.gov/vuln/detail/CVE-2023-42789 
https://nvd.nist.gov/vuln/detail/CVE-2023-42790 
https://nvd.nist.gov/vuln/detail/CVE-2023-47534  
https://nvd.nist.gov/vuln/detail/CVE-2023-48788 
https://nvd.nist.gov/vuln/detail/CVE-2023-36554

Vulnerabilidades en Fortinet 9 de febrero 2024

INTRODUCCIÓN

Fortinet ha publicado siete avisos de seguridad entre los que se encuentran dos vulnerabilidades críticas que afectan a FortiOS: CVE-2024-21762 y CVE-2024-23113.

S2 Grupo tiene constancia de que la vulnerabilidad identificada como CVE-2024-21762, una escritura fuera de límites en sslvpnd, ha sido explotada desde finales de enero. Además, Fortinet indica que deshabilitar el componente SSL VPN es una solución temporal válida.

ANÁLISIS

CVE-2024-21762  AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:W/RC:C - 9.6:

Una vulnerabilidad de escritura fuera de límites [CWE-787] en FortiOS puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de peticiones HTTP especialmente diseñadas. Esta vulnerabilidad ha sido explotada en la naturaleza.

CVE-2024-23113  AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:U/RC:C - 9.8:

Una vulnerabilidad de uso de cadena de formato controlada externamente [CWE-134] en el demonio fgfmd de FortiOS puede permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas.

CVE-2023-45581  AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:X/RC:U - 7.9:

Una vulnerabilidad de gestión de privilegios incorrecta [CWE-269] en la interfaz administrativa gráfica de FortiClientEMS puede permitir que un administrador de sitio con privilegios de Super Admin realice operaciones administrativas globales que afecten a otros sitios a través de solicitudes HTTP o HTTPS manipuladas.

VERSIONES AFECTADAS

CVE-2024-21762:

• FortiOS de la versión 7.4.0 a la 7.4.2
• FortiOS de la versión 7.2.0 a la 7.2.6
• FortiOS de la versión 7.0.0 a la 7.0.13
• FortiOS de la versión 6.4.0 a la 6.4.14
• FortiOS de la versión 6.2.0 a la 6.2.15
• FortiOS 6.0 todas las versiones

CVE-2024-23113:

• FortiOS de la versión 7.4.0 a la 7.4.2
• FortiOS de la versión 7.2.0 a la 7.2.6
• FortiOS de la versión 7.0.0 a la 7.0.13

CVE-2023-45581:

• FortiClientEMS de la versión 7.2.0 a la 7.2.2
• FortiClientEMS de la versión 7.0.6 a la 7.0.10
• FortiClientEMS de la versión 7.0.0 a la 7.0.4
• FortiClientEMS 6.4 todas las versiones
• FortiClientEMS 6.2 todas las versiones

RECOMENDACIONES

CVE-2024-21762:

• Actualice a FortiOS 7.6, ya que no está afectado por esta vulnerabilidad.
• Actualice FortiOS a 7.4.3 o superior
• Actualice FortiOS a 7.2.7 o superior
• Actualice FortiOS a 7.0.14 o superior
• Actualice FortiOS a 6.4.15 o superior
• Actualice FortiOS a 6.2.16 o superior
• Para versiones en el rango de FortiOS 6.0, actualice a una de las versiones fijas mencionadas anteriormente.

Solución temporal:

Desactive SSL VPN. Fortinet ha especificado que desactivar el modo web NO es una solución válida.

CVE-2024-23113:

• Actualice FortiOS a 7.4.3 o superior
• Actualice FortiOS a 7.2.7 o superior
• Actualice FortiOS a 7.0.14 o superior

CVE-2023-45581:

• Actualice FortiClientEMS a 7.2.3 o superior
• Actualice FortiClientEMS a 7.0.11 o superior
• Actualice FortiClientEMS a 7.0.11 o superior
• Para versiones en el rango de FortiClientEMS 6.2 o FortiClientEMS 6.4, actualice a una de las versiones fijas mencionadas anteriormente.

REFERENCIAS

https://www.fortiguard.com/psirt/FG-IR-24-015 
https://www.fortiguard.com/psirt/FG-IR-24-029 
https://www.fortiguard.com/psirt/FG-IR-23-357 
https://nvd.nist.gov/vuln/detail/CVE-2024-23113 
https://nvd.nist.gov/vuln/detail/CVE-2023-45581 
https://nvd.nist.gov/vuln/detail/CVE-2024-21762 

Vulnerabilidades en Fortinet 8 de febrero 2024

INTRODUCCIÓN

Fortinet ha actualizado un aviso de seguridad de octubre 2023 para introducir dos nuevas vulnerabilidades críticas.

ANÁLISIS

CVE-2024-23108 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo en Fortinet FortiSIEM permiten al atacante ejecutar código o comandos no autorizados a través de solicitudes API manipuladas.

CVE-2024-23109 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo en Fortinet FortiSIEM permiten al atacante ejecutar código o comandos no autorizados a través de solicitudes API manipuladas.

VERSIONES AFECTADAS

• FortiSIEM versiones 7.1.0 a 7.1.1
• FortiSIEM versiones 7.0.0 a 7.0.2
• FortiSIEM versiones 6.7.0 a 6.7.8
• FortiSIEM versiones 6.6.0 a 6.6.3
• FortiSIEM versiones 6.5.0 a 6.5.2
• FortiSIEM versiones 6.4.0 a 6.4.2

RECOMENDACIONES

• Actualice a FortiSIEM versión 7.1.2 o superior.
• Actualice a la próxima versión de FortiSIEM 7.2.0 o superior.
• Actualice a la próxima versión de FortiSIEM 7.0.3 o superior.
• Actualice a la próxima versión de FortiSIEM 6.7.9 o superior.
• Actualice a la próxima versión de FortiSIEM 6.6.5 o superior.
• Actualice a la próxima versión de FortiSIEM 6.5.3 o superior.
• Actualice a la próxima versión de FortiSIEM 6.4.4 o superior.

REFERENCIAS

https://fortiguard.com/psirt/FG-IR-23-130 
https://nvd.nist.gov/vuln/detail/CVE-2024-23108 
https://nvd.nist.gov/vuln/detail/CVE-2024-23109