Vulnerabilidad crítica de omisión de autenticación remota en FortiOS y FortiProxy

Fortinet ha advertido a sus clientes sobre una falla de seguridad que afecta a los firewalls FortiGate y a los productos FortiProxy que podrían permitir a un atacante ejecutar código o comandos no autorizados.

La vulnerabilidad CVE-2022-40684 es una omisión de autenticación que utiliza una ruta o canal alternativo [CWE-288] en FortiOS, puede permitir a un atacante no autenticado realizar operaciones en la interfaz administrativa a través de solicitudes HTTP especialmente diseñadas.

Debido a la capacidad de explotar este problema de forma remota, Fortinet recomienda encarecidamente a todos los clientes con las versiones vulnerables que realicen una actualización inmediata.

Workarounds

Deshabilitar las interfaces de usuario de administración remota o limitar las direcciones IP que pueden llegar a la interfaz administrativa utilizando una política local hasta realizar la actualización:

config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end

A continuación, crear un grupo de direcciones:

config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end

Luego crear la política local para restringir el acceso solo al grupo predefinido en la interfaz de administración (ejemplo puerto 1):

config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"

Productos afectados:

  • FortiOS versión 7.0.0 a 7.0.6
  • FortiOS versión 7.2.0 a 7.2.1

Recomendaciones:

  • Actualizar FortiOS a la versión 7.0.7 o superior
  • Actualizar FortiOS a la versión 7.2.2 o superior

Referencias: