A Fortinet divulgou uma vulnerabilidade crítica que afeta o FortiOS e o FortiProxy e permite que um invasor execute código arbitrário ou negação de serviço (DoS) na interface gráfica do usuário (GUI, na sigla em inglês) de dispositivos vulneráveis usando solicitações especialmente criadas.
Trata-se de uma vulnerabilidade de buffer underflow, rastreada como CVE-2023-25610 e escore de 9.3 no sistema de pontuação comum de vulnerabilidades (CVSS). Esse tipo de falha ocorre quando um programa tenta ler mais dados de um buffer de memória do que os disponíveis, resultando no acesso a locais de memória adjacentes, levando a comportamentos de risco ou travamentos.
No comunicado de segurança envido ao clientes, a Fortinet diz que não ter constatado nenhuma instância de exploração ativa no momento. A empresa listo os seguintes produtos como afetados pela vulnerabilidade:
- FortiOS versão 7.2.0 até 7.2.3
- FortiOS versão 7.0.0 a 7.0.9
- FortiOS versão 6.4.0 até 6.4.11
- FortiOS versão 6.2.0 até 6.2.12
- FortiOS 6.0, todas as versões
- FortiProxy versão 7.2.0 a 7.2.2
- FortiProxy versão 7.0.0 a 7.0.8
- FortiProxy versão 2.0.0 a 2.0.11
- FortiProxy 1.2, todas as versões
- FortiProxy 1.1, todas as versões
As versões de atualização de destino que corrigem a vulnerabilidade são:
- FortiOS versão 7.4.0 ou superior
- FortiOS versão 7.2.4 ou superior
- FortiOS versão 7.0.10 ou superior
- FortiOS versão 6.4.12 ou superior
- FortiOS versão 6.2.13 ou superior
- FortiProxy versão 7.2.3 ou superior
- FortiProxy versão 7.0.9 ou superior
- FortiProxy versão 2.0.12 ou superior
- FortiOS-6K7K versão 7.0.10 ou superior
- FortiOS-6K7K versão 6.4.12 ou superior
- FortiOS-6K7K versão 6.2.13 ou superior
A Fortinet diz que 50 modelos de dispositivos, listados no boletim de segurança, não são afetados pelo componente de execução de código arbitrário da falha, mas apenas pela parte de negação de serviço, mesmo que executem uma versão vulnerável do FortiOS. Os modelos de dispositivos não listados no comunicado são vulneráveis a ambos os problemas, portanto, os administradores devem aplicar as atualizações de segurança disponíveis o mais rápido possível.
Veja isso
Fortinet diz que falha no SSL-VPN de dia zero está corrigida
Fortinet alerta sobre falha RCE que vem sendo explorada
Para aqueles que não podem aplicar as atualizações, a Fortinet sugere a solução alternativa de desabilitar a interface administrativa HTTP/HTTPS ou limitar os endereços IP que podem acessá-la remotamente. Instruções sobre como aplicar as soluções alternativas, que também abrangem casos de uso de porta não padrão, estão incluídas no comunicado de segurança.
Os operadores de ameaças ficam de olho nas falhas de gravidade crítica que afetam os produtos da Fortinet, especialmente aquelas que não exigem autenticação para ser exploradas, pois fornecem um método para obter acesso inicial às redes corporativas.
Devido a isso, é imperativo mitigar essa vulnerabilidade rapidamente.Por exemplo, em 16 de fevereiro, a Fortinet corrigiu duas falhas críticas de execução remota de código que afetavam os produtos FortiNAC e FortiWeb, chamando os usuários para aplicar as atualizações de segurança imediatamente. Uma exploração de prova de conceito funcional para alavancar a falha foi tornada pública apenas quatro dias depois, e a exploração ativa na natureza começou em 22 de fevereiro de 2023.