Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Fortinet, que permitirían a un atacante realizar divulgación de información, inyección de comandos, ataques del tipo cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 9 (nueve) de severidad “Alta”, 10 (diez) de severidad “Media” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-41331 de severidad “Crítica”, con puntuación de 9.3. Esta vulnerabilidad se debe a una falla de control de acceso en FortiPresence. Esto permitiría a un atacante remoto no autenticado a través de solicitudes especialmente diseñadas, realizar omisión de autenticación y obtener el acceso al sistema afectado.
- CVE-2022-27487, de severidad “Alta”, con puntuación de 8.3. Esta vulnerabilidad se debe a una falla de seguridad en FortiSandbox y FortiDeceptor. Esto permitiría a un atacante remoto a través del envío de solicitudes HTTP específicamente diseñadas, realizar escalamiento de privilegios y acceder a APIs no autorizadas del sistema afectado.
- CVE-2022-41330, de severidad “Alta”, con puntuación de 8.3. Esta vulnerabilidad del tipo cross-site scripting (XSS) se debe a una falla de validación de datos de entrada de la interfaz administrativa en FortiOS y FortiProxy. Esto permitiría a un atacante no autenticado, a través del envío de solicitudes HTTP específicamente diseñadas, realizar ejecución de códigos o comandos arbitrarios en el sistema afectado.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Principales productos afectados son:
- FortiPresence 1.2, todas las versiones.
- FortiDeceptor, versión 4.1.0.
- FortiSandbox, versión 4.2.0 a 4.2.2.
- FortiProxy, versión 7.2.0 a 7.2.1.
- FortiOS, versión 6.4.0 a 6.4.11.
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-fortinet-1
- https://www.fortiguard.com/psirt-monthly-advisory/april-2023-vulnerability-advisories
- https://nvd.nist.gov/vuln/detail/CVE-2022-27487
- https://nvd.nist.gov/vuln/detail/CVE-2022-41330
- https://www.fortiguard.com/psirt/FG-IR-22-355
- https://www.fortiguard.com/psirt/FG-IR-22-056
- https://www.fortiguard.com/psirt/FG-IR-22-363