Fecha: 30/10/2020
A modo de contextualizar la descripción de las vulnerabilidades, a continuación una definición breve de los productos afectados:
- FortiOS, es el sistema operativo que se ejecuta en los equipos de Fortinet y emplea una versión modificada del kernel de Linux con el sistema de archivos ext2 (segundo sistema de archivos extendido).
- FortiClient, es una solución de seguridad que también puede ser ejecutada en entornos Linux, entre sus características se encuentra FortiTelemetry (una interfaz de administración para escuchar conexiones desde dispositivos FortiClient instalados), un antivirus y una herramienta para el escaneo de vulnerabilidades.
¿Qué pasó?
Actualizaciones de seguridad en productos de Fortinet abordan 2 vulnerabilidades de riesgo alto y medio, que afectan a FortiOS en versiones 6.2.4 y anteriores; y FortiClient para Linux en versiones: 6.2.7 y anteriores; 6.4.0 y anteriores. La explotación exitosa de estos fallos permitiría a un atacante obtener información potencialmente confidencial o escalar privilegios.
A continuación, se describen brevemente ambos fallos:
El CVE-2020-15934 de riesgo alto, trata de una vulnerabilidad de escalamiento de privilegios que afecta al motor VCM (Vulnerability and Compliance Management) de FortiClient para los sistemas Linux. Un atacante local podría elevar sus privilegios al usuario root mediante la creación de scripts o programas maliciosos en el sistema de la víctima.
Por otro lado, el CVE-2020-6648 de riesgo medio, trata de una vulnerabilidad de divulgación de información que afecta a la interfaz de línea de comandos de FortiOS. Un atacante remoto autenticado podría explotar exitosamente este fallo conectándose a la interfaz de línea de comandos de FortiGate para luego ejecutar el comando “diag sys ha checksum show” y de tener éxito obtener información confidencial, como contraseñas de usuarios.
Recomendaciones:
- Actualizar los productos afectados a las siguientes versiones:
Referencias: