Fortinet corrige vulnerabilidades críticas de RCE en FortiOS

Fortinet lanzó recientemente actualizaciones para solventar dos vulnerabilidades críticas que podrían permitir la ejecución de código remoto en los productos FortiOS.

• La primera vulnerabilidad identificada como CVE-2024-23113, con un CVSS de 9.8, es una falla de Externally-Controlled Format String en el FortiOS fgfmd daemon. Se caracteriza por un error de una función que recibe como argumento un string modificado desde una fuente externa.
• La segunda vulnerabilidad identificada como CVE-2024-21762, con un CVSS de 9.6, es una falla de out-of-bounds write. Se caracteriza por la escritura fuera de límites en el servicio sslvpnd, esto podría permitir que un atacante remoto no autenticado ejecute código o comando arbitrario a través de solicitudes HTTP especialmente diseñadas.

Estas vulnerabilidades exponen a los usuarios a la ejecución potencial de código y comandos no autorizados a través de solicitudes especialmente diseñadas, subrayando la gravedad y el impacto potencial en la confidencialidad, integridad y disponibilidad de los sistemas involucrados. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante modificar o crear políticas, así como la administración general del Firewall.

Versiones Afectadas

• Para la vulnerabilidad CVE-2024-23113: FortiOS versiones 7.4.0 a 7.4.2, 7.2.0 a 7.2.6, y 7.0.0 a 7.0.13.
• Para la vulnerabilidad CVE-2024-21762: FortiOS versiones 7.4.0 a 7.4.2, 7.2.0 a 7.2.6, 7.0.0 a 7.0.13, 6.4.0 a 6.4.14, 6.2.0 a 6.2.15 y todas las versiones de FortiOS 6.0.

Estas vulnerabilidades afectan a una parte significativa de la base instalada de FortiOS, requiriendo atención inmediata por parte de los administradores de sistemas y profesionales de seguridad para mitigar los riesgos asociados.

Solución

Fortinet recomienda enfáticamente la actualización a las versiones seguras de FortiOS para corregir las vulnerabilidades identificadas:

• Para la vulnerabilidad CVE-2024-23113: actualizar a FortiOS versión 7.4.3 o superior, 7.2.7 o superior y 7.0.14 o superior.
• Para la vulnerabilidad CVE-2024-21762: actualizar a FortiOS versión 7.6.0 o superior, 7.4.3 o superior, 7.2.7 o superior, 7.0.14 o superior, 6.4.15 o superior y 6.2.16 o superior.

Fortinet no emitirá actualizaciones para la versión FortiOS 6.0 por lo que se sugiere migrar a una de las versiones corregidas.

Workaround

Como solución alternativa temporal hasta que se pueda realizar la actualización, se recomienda deshabilitar el acceso fgfm para la vulnerabilidad CVE-2024-23113 y deshabilitar SSLVPN para la vulnerabilidad CVE-2024-21762, teniendo en cuenta que estas medidas pueden reducir la funcionalidad o la gestión remota.

Recomendaciones

• Actualizar inmediatamente a la versión más reciente de FortiOS disponible para su serie específica y asegurar la protección contra estas vulnerabilidades críticas.
• En caso de no poder realizar las actualizaciones, implementar el workaround para mitigar los riesgos potenciales de las vulnerabilidades descritas.

• Revisar o ajustar las configuraciones de red y seguridad, limitando el acceso a los servicios vulnerables solo a usuarios confiables y necesarios, como medida preventiva hasta que se complete la actualización.

• Implementar un seguimiento y monitoreo continuo de la red para detectar cualquier actividad inusual o intentos de explotación, como parte de una estrategia de defensa en profundidad.

Referencias

• https://www.bleepingcomputer.com/news/security/new-fortinet-rce-flaw-in-ssl-vpn-likely-exploited-in-attacks/
• https://thehackernews.com/2024/02/fortinet-warns-of-critical-fortios-ssl.html
• https://www.fortiguard.com/psirt/FG-IR-24-029
• https://www.fortiguard.com/psirt/FG-IR-24-015