Fortinet corrige vulnerabilidades críticas de RCE en FortiNAC y FortiWeb

Fortinet lanza actualizaciones de seguridad para sus productos FortiNAC y FortiWeb, para solucionar dos vulnerabilidades críticas que pueden permitir que los atacantes no autenticados realicen código arbitrario o ejecución de comandos.

La primera vulnerabilidad CVE-2022-39952 con puntaje CVSS de 9.8, en el que, un control externo de vulnerabilidad de ruta o nombre de archivo [CWE-73] en el servidor web de FortiNAC, puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de una solicitud HTTP específicamente diseñada.

Productos afectados

• FortiNAC versión 9.4.0
• FortiNAC versión 9.2.0 a 9.2.5
• FortiNAC versión 9.1.0 a 9.1.7
• FortiNAC 8.8 todas las versiones
• FortiNAC 8.7 todas las versiones
• FortiNAC 8.6 todas las versiones
• FortiNAC 8.5 todas las versiones
• FortiNAC 8.3 todas las versiones

Soluciones

• Actualice a FortiNAC versión 9.4.1 o superior
• Actualice a FortiNAC versión 9.2.6 o superior
• Actualice a FortiNAC versión 9.1.8 o superior
• Actualice a FortiNAC versión 7.2.0 o superior

La segunda vulnerabilidad CVE-2021-42756 con puntaje CVSS de 9.3, es el desbordamiento de búfer basado en pila (stack-based) en el demonio proxy de FortiWeb que permite que un atacante remoto no autenticado logre la ejecución de código arbitrario a través de solicitudes HTTP específicamente diseñadas.

FortiWeb es una solución de firewall de aplicaciones web (WAF) diseñada para proteger las aplicaciones web y la API de secuencias de comandos entre sitios (XSS), SQL injection, ataques de bots, DDoS (denegación de servicio distribuida) y otras amenazas en línea.

Productos afectados

• FortiWeb versiones 5.x todas las versiones,
• FortiWeb versiones 6.0.7 e inferiores,
• FortiWeb versiones 6.1.2 e inferiores,
• FortiWeb versiones 6.2.6 e inferiores,
• FortiWeb versiones 6.3.16 e inferiores,
• FortiWeb versiones 6.4 todas las versiones.

Soluciones

• Actualice a FortiWeb 7.0.0 o superior,
• Actualice a FortiWeb 6.3.17 o superior,
• Actualice a FortiWeb 6.2.7 o superior.
• Actualice a FortiWeb 6.1.3 o superior.
• Actualice a FortiWeb 6.0.8 o superior.

El ID de CVE indica que la vulnerabilidad fue descubierta en 2021, sin embargo, no se hizo pública hasta ahora. No existen consejos de mitigación ni soluciones alternativas para estas vulnerabilidades, por lo que es necesario realizar las actualizaciones de seguridad disponibles.

Recomendaciones

• Actualizar los sistemas afectados a la última versión disponible lo antes posible.

Referencias

• https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaws-in-fortinac-and-fortiweb/
• https://nvd.nist.gov/vuln/detail/CVE-2022-39952
• https://nvd.nist.gov/vuln/detail/CVE-2021-42756
• https://www.fortiguard.com/psirt/FG-IR-22-300
• https://www.fortiguard.com/psirt/FG-IR-21-186