Noticias

Vulnerabilidades en productos de Fortinet

Fecha de publicación: 

Resumen ejecutivo

Se han identificado tres vulnerabilidades significativas en varios productos de Fortinet, cada una con diferentes niveles de gravedad. La más crítica permite a un atacante no autenticado cambiar contraseñas de administrador en la GUI de FortiSwitch, presentando una amenaza inmediata que requiere acción urgente. La segunda vulnerabilidad, de gravedad alta, permite a un atacante no autenticado interceptar y suplantar la autenticación en múltiples versiones de los productos Fortinet, abriendo la posibilidad de un ataque de tipo "hombre en el medio". Finalmente, la tercera vulnerabilidad, de gravedad baja, presenta un problema similar en otras versiones de los productos Fortinet. Todas estas vulnerabilidades requieren atención y mitigación para proteger la integridad de los sistemas afectados.

Recursos afectados

  • FortiAnalyzer (versiones 7.4.0 - 7.4.2, 7.2.0 - 7.2.4, 7.0.0 - 7.0.11, 6.4.0 - 6.4.14, 6.2.0 - 6.2.13)
  • FortiManager (versiones 7.4.0 - 7.4.2, 7.2.0 - 7.2.4, 7.0.0 - 7.0.11, 6.4.0 - 6.4.14, 6.2.0 - 6.2.13)
  • FortiOS (versiones 7.4.0 - 7.4.4, 7.2.0 - 7.2.8, 7.0.0 - 7.0.15, 6.4 todas las versiones, 6.2.0 - 6.2.16)
  • FortiProxy (versiones 7.4.0 - 7.4.2, 7.2.0 - 7.2.9, 7.0.0 - 7.0.15, 2.0 todas las versiones)
  • FortiVoice (versiones 7.0.0 - 7.0.2, 6.4.0 - 6.4.8, 6.0 todas las versiones)
  • FortiWeb (versiones 7.4.0 - 7.4.2, 7.2 todas las versiones, 7.0 todas las versiones)
  • FortiSwitch (versiones 7.6.0, 7.4.0 - 7.4.4, 7.2.0 - 7.2.8, 7.0.0 - 7.0.10, 6.4.0 - 6.4.14)

Análisis técnico

  • CVE-2024-48887: Una vulnerabilidad no verificada de cambio de contraseña en la Interfaz de Usuario Gráfica (GUI) de Fortinet FortiSwitch puede permitir a un atacante remoto no autenticado cambiar las contraseñas de administrador mediante una solicitud especialmente diseñada.
    • CWE-620
    • CVSS: 9.8
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-26013: Una vulnerabilidad de restricción inadecuada del canal de comunicación a los endpoints previstos [CWE-923] en Fortinet FortiOS versión 7.4.0 a 7.4.4, 7.2.0 a 7.2.8, 7.0.0 a 7.0.15, 6.4.0 a 6.4.15 y antes del 6.2.16, Fortinet FortiProxy versión 7.4.0 a 7.4.2, 7.2.0 a 7.2.9 y antes de la 7.0.15, Fortinet FortiManager versión 7.4.0 a 7.4.2, 7.2.0 a 7.2.4, 7.0.0 a 7.0.11, 6.4.0 a 6.4.14 y antes del 6.2.13, Fortinet FortiAnalyzer versión 7.4.0 a 7.4.2, 7.2.0 a 7.2.4, 7.0.0 a 7.0.11, 6.4.0 a 6.4.14 y antes del 6.2.13, Fortinet FortiVoice versión 7.0.0 a 7.0.2 antes del 6.4.8 y Fortinet FortiWeb antes del 7.4.2, puede permitir a un atacante no autenticado en una posición de hombre en el medio hacerse pasar por el dispositivo de gestión (servidor FortiCloud o/y en ciertas condiciones, FortiManager), a través de la interceptación de la solicitud de autenticación FGFM entre el dispositivo de gestión y el dispositivo gestionado.
    • CWE-923
    • CVSS: 7.5
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-50565: Una vulnerabilidad de restricción incorrecta del canal de comunicación a los endpoints previstos [CWE-923] en la versión de Fortinet FortiOS 7.4.0 hasta 7.4.3, 7.2.0 hasta 7.2.7, 7.0.0 hasta 7.0.14, 6.4.0 hasta 6.4.15 y 6.2.0 hasta 6.2.16, la versión de Fortinet FortiProxy 7.4.0 hasta 7.4.2, 7.2.0 hasta 7.2.9, 7.0.0 hasta 7.0.15 y 2.0.0 hasta 2.0.14, la versión de Fortinet FortiManager 7.4.0 hasta 7.4.2, 7.2.0 hasta 7.2.4, 7.0.0 hasta 7.0.11, 6.4.0 hasta 6.4.14 y 6.2.0 hasta 6.2.13, la versión de Fortinet FortiAnalyzer 7.4.0 hasta 7.4.2, 7.2.0 hasta 7.2.4, 7.0.0 hasta 7.0.11, 6.4.0 hasta 6.4.14 y 6.2.0 hasta 6.2.13, la versión de Fortinet FortiVoice 7.0.0 hasta 7.0.2, 6.4.0 hasta 6.4.8 y 6.0.0 hasta 6.0.12 y la versión de Fortinet FortiWeb 7.4.0 hasta 7.4.2, 7.2.0 hasta 7.2.10, 7.0.0 hasta 7.0.10 permite a un atacante no autenticado en una posición de hombre en el medio hacerse pasar por el dispositivo de gestión (servidor FortiCloud o/y en ciertas condiciones, FortiManager), a través de la interceptación de la solicitud de autenticación de FGFM entre el dispositivo de gestión y el dispositivo gestionado.
    • CWE-300
    • CVSS: 3.1
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
    • Explotación: No detectada

Mitigación / Solución

Para mitigar o resolver los problemas de seguridad descritos, el fabricante recomienda varias acciones. Para vulnerabilidades en FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice y FortiWeb, se debe actualizar a las versiones mencionadas en el texto, como, por ejemplo, actualizar FortiAnalyzer 7.4.0 a 7.4.2 a la versión 7.4.3 o superior. En ciertos casos, la recomendación es migrar a una versión fija. Puede seguir la ruta de actualización recomendada usando la herramienta que se encuentra en https://docs.fortinet.com/upgrade-tool. Para la vulnerabilidad en la interfaz de usuario gráfica de FortiSwitch, también se deben realizar actualizaciones específicas en las versiones afectadas, por ejemplo, se debe actualizar FortiSwitch 7.6.0 a la versión 7.6.1 o superior. Como alternativa, se puede desactivar el acceso HTTP/HTTPS desde las interfaces administrativas y configurar los hosts de confianza para limitar los hosts que pueden conectarse al sistema usando los comandos proporcionados.

Referencias adicionales