Fortinet ha revelado una vulnerabilidad crítica de desbordamiento de búfer en el heap (CWE-122) en el demonio cw_acd de FortiOS y FortiSwitchManager. Esta falla permite a un atacante remoto sin autenticación ejecutar código o comandos arbitrarios mediante solicitudes especialmente diseñadas, afectando firewalls, soluciones SASE y herramientas de gestión de switches con interfaces fabric expuestas.
Productos afectados
| Fabricante | Producto | Versiones afectadas | Solución |
|---|---|---|---|
| Fortinet | FortiOS | 7.67.6.0 hasta 7.6.3 | Actualizar a 7.6.4 o superior |
| Fortinet | FortiOS | 7.47.4.0 hasta 7.4.8 | Actualizar a 7.4.9 o superior |
| Fortinet | FortiOS | 7.27.2.0 hasta 7.2.11 | Actualizar a 7.2.12 o superior |
| Fortinet | FortiOS | 7.07.0.0 hasta 7.0.17 | Actualizar a 7.0.18 o superior |
| Fortinet | FortiOS | 6.46.4.0 hasta 6.4.16 | Actualizar a 6.4.17 o superior |
| Fortinet | FortiSASE | 25.225.2.b | Remediado en la versión 25.2.c |
| Fortinet | FortiSASE | 25.1.a | Migrar a versión corregida 25.1.a.2 |
| Fortinet | FortiSASE | 24.4–22 | No afectado |
| Fortinet | FortiSwitchManager | 7.27.2.0 hasta 7.2.6 | Actualizar a 7.2.7 o superior |
| Fortinet | FortiSwitchManager | 7.07.0.0 hasta 7.0.5 | Actualizar a 7.0.6 o superior |
Solución
Actualizar a las versiones corregidas disponibles según la tabla para asegurar protección contra esta vulnerabilidad.
Recomendaciones
Priorizar la actualización inmediata de los sistemas afectados, monitorear los registros para detectar actividad anómala del daemon cw_acd, y segmentar las interfaces de gestión para minimizar exposición.
Workarounds
Como mitigación temporal, deshabilitar el acceso “fabric” en las interfaces y bloquear el tráfico CAPWAP-CONTROL (puertos UDP 5246-5249) con políticas locales que solo permitan fuentes confiables.