Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a FortiOS y FortiProxy de Fortinet, que permitiría a un atacante realizar ejecución remota de código (RCE) e iniciar sesión con una cuenta eliminada.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2023-33308 de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad del tipo Stack-Based Buffer Overflow se debe a una falla en la función encargada de inspeccionar las políticas de proxy o políticas de firewall con modo proxy e inspección profunda de paquetes SSL habilitados en FortiOS y FortiProxy de Fortinet. Esto permitiría a un atacante remoto a través de paquetes especialmente diseñados, realizar ejecución remota de código (RCE) o ejecución arbitraria de comandos en el dispositivo afectado.
- CVE-2023-28001, de severidad “Media”, con puntuación de 4.1. Esta vulnerabilidad se debe a una falla de control de sesión en la conexión websocket tras la eliminación de la API admin en FortiOS de Fortinet. Esto permitiría a un atacante a través de un token obtenido de la API, reutilizar la sesión de un usuario eliminado.
Los productos afectados son:
- FortiOS versión 7.2.0 a 7.2.3.
- FortiOS versión 7.0.0 a 7.0.10.
- FortiProxy versión 7.2.0 a 7.2.2.
- FortiProxy versión 7.0.0 a 7.0.9.
- FortiOS versión 7.2.0 a 7.2.4.
- FortiOS 7.0 todas las versiones.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en los siguientes enlaces:
Como medida adicional de mitigación para el CVE-2023-33308, recomendamos deshabilitar la compatibilidad con HTTP/2 en los perfiles de inspección SSL utilizados por las directivas de proxy o las directivas de firewall con modo proxy, un ejemplo de este sería:
config firewall ssl-ssh-profile
edit «custom-deep-inspection»
set supported-alpn http1-1
next
end
Referencias:
- https://www.securityweek.com/fortinet-patches-critical-fortios-vulnerability-leading-to-remote-code-execution/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33308
- https://nvd.nist.gov/vuln/detail/CVE-2023-28001
- https://www.fortiguard.com/psirt/FG-IR-23-183
- https://www.fortiguard.com/psirt/FG-IR-23-028