Fortinet ha advertido a sus clientes sobre una falla de seguridad que afecta a los firewalls FortiGate y a los productos FortiProxy que podrían permitir a un atacante ejecutar código o comandos no autorizados.
La vulnerabilidad CVE-2022-40684 es una omisión de autenticación que utiliza una ruta o canal alternativo [CWE-288] en FortiOS, puede permitir a un atacante no autenticado realizar operaciones en la interfaz administrativa a través de solicitudes HTTP especialmente diseñadas.
Debido a la capacidad de explotar este problema de forma remota, Fortinet recomienda encarecidamente a todos los clientes con las versiones vulnerables que realicen una actualización inmediata.
Workarounds
Deshabilitar las interfaces de usuario de administración remota o limitar las direcciones IP que pueden llegar a la interfaz administrativa utilizando una política local hasta realizar la actualización:
config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end
A continuación, crear un grupo de direcciones:
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
Luego crear la política local para restringir el acceso solo al grupo predefinido en la interfaz de administración (ejemplo puerto 1):
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "all"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
Productos afectados:
- FortiOS versión 7.0.0 a 7.0.6
- FortiOS versión 7.2.0 a 7.2.1
Recomendaciones:
- Actualizar FortiOS a la versión 7.0.7 o superior
- Actualizar FortiOS a la versión 7.2.2 o superior
Referencias: