Fortinet ha informado de una vulnerabilidad crítica que impacta a múltiples versiones de FortiOS y FortiProxy, mediante la cual un atacante podría ejecutar una denegación de servicio sobre la GUI de los dispositivos vulnerables o incluso ejecutar código de forma remota sin necesidad de autenticación previa.
De acuerdo con el Security Advisory que ha publicado Fortinet aún no hay instancias de que esta vulnerabilidad (identificada como CVE-2023-25610) esté siendo explotada de forma activa por cibercriminales, pero esto no deja de requerir una toma de acción inmediata por parte de las organizaciones con dispositivos afectados, dado que últimamente las vulnerabilidades sobre servicios VPN se están convirtiendo en un punto de entrada a las organizaciones cada vez más común para los atacantes.
Plataformas afectadas y mitigación
Las versiones de producto afectadas se listan a continuación:
FortiOS 7.2.0 a 7.2.3
FortiOS 7.0.0 a 7.0.9
FortiOS 6.4.0 a 6.4.11
FortiOS 6.2.0 a 6.2.12
FortiOS 6.0 (todas sus versiones)
FortiProxy 1.1 (todas sus versiones)
FortiProxy 1.2 (todas sus versiones)
FortiProxy 7.2.0 a 7.2.2
FortiProxy 7.0.0 a 7.0.8
FortiProxy 2.0.0 a 2.0.11
El fabricante ha recomendado que todos sus clientes actualicen lo antes posible a alguna de las versiones que resuelve la vulnerabilidad:
FortiOS 6.2.13 o superior
FortiOS 6.4.12 o superior
FortiOS 7.0.10 o superior
FortiOS 7.2.4 o superior
FortiOS 7.4.0 o superior
FortiOS-6K7K 6.2.13 o superior
FortiOS-6K7K 6.4.12 o superior
FortiOS-6K7K 7.0.10 o superior
FortiProxy 2.0.12 o superior
FortiProxy 7.0.9 o superior
FortiProxy 7.2.3 o superior
Workaround (FortiOS)
Para aquellos a quienes no sea posible hacer el upgrade lo antes posible, Fortinet indica en su advisory medidas que pueden tomarse para mitigar el riesgo sobre FortiOS hasta que pueda actualizarse, las cuales pueden ser directamente deshabilitar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP que pueden llegar a la interfaz administrativa (el paso a paso se encuentra público en su advisory)
Dispositivos no afectados por la ejecución de código remoto
Fortinet ha informado que cincuenta dispositivos, listados debajo, no son susceptibles a la ejecución de código remoto por la explotación de esta vulnerabilidad, pero sí lo son ante la posible denegación de servicio.
FortiGate-100D
FortiGate-200C
FortiGate-200D
FortiGate-300C
FortiGate-300C-DC-Gen2
FortiGate-300C-Gen2
FortiGate-300C-LENC-Gen2
FortiGate-3600A
FortiGate-40F
FortiGate-40F-3G4G
FortiGate-40F-3G4G-EA
FortiGate-40F-3G4G-JP
FortiGate-40F-3G4G-NA
FortiGate-40F-Gen2
FortiGate-5001FA2
FortiGate-5002FB2
FortiGate-50E
FortiGate-51E
FortiGate-52E
FortiGate-60D
FortiGate-60D-3G4G-VZW
FortiGate-60D-Gen2
FortiGate-60DH
FortiGate-60D-POE
FortiGate-620B
FortiGate-621B
FortiGateRugged-100C
FortiGateRugged-60D
FortiGateRugged-90D
FortiGate-VM01-Hyper-V
FortiGate-VM01-KVM
FortiWiFi-40F
FortiWiFi-40F-3G4G
FortiWiFi-40F-3G4G-EA
FortiWiFi-40F-3G4G-JP
FortiWiFi-40F-3G4G-NA
FortiWiFi-40F-Gen2
FortiWiFi-50E
FortiWiFi-50E-2R
FortiWiFi-51E
FortiWiFi-60D
FortiWiFi-60D-3G4G-VZW
FortiWifi-60D-Gen2
FortiWifi-60D-Gen2-J
FortiWifi-60D-Gen2-U
FortiWiFi-60DH
FortiWiFi-60D-I
FortiWiFi-60D-J
FortiWiFi-60D-POE
FortiWiFi-60D-T