Fortinet corrige 40 vulnerabilidades, dos de ellas clasificadas como críticas
El PSIRT de Fortinet lanzó 40 actualizaciones de seguridad para los siguientes productos:
- FortiWeb
- FortiOS
- FortiNAC
- FortiProxy
- FortiAnalyzer
- FortiADC
- FortiSandbox
- FortiPortal
- FortiWAN
- FortiAuthenticator
- FortiSwitch
- FortiExtender
- FortiSwitchManager
Entre estas actualizaciones se encuentran dos vulnerabilidades clasificadas como críticas.
- CVE-2022-39952 afecta a FortiNAC en las versiones: 9.4.0, desde 9.2.0 hasta 9.2.5, desde 9.1.0 hasta 9.1.7, 8.8, 8.7, 8.6, 8.5 y 8.3.
Ésta vulnerabilidad está siendo explotada por atacantes según Shadowserver.
We are seeing @Fortinet FortiNAC CVE-2022-39952 exploitation attempts from multiple IPs in our honeypot sensors. A PoC was published earlier today. Make sure to upgrade your FortiNAC as specified in: https://t.co/edZEG2VOzL
— Shadowserver (@Shadowserver) February 21, 2023
Imagen de muestra. Lo que va a quedar es el código de arriba.
- CVE-2021-42756 afecta al demonio del proxy FortiWeb en las versiones 5.x, 6.0.7 y anteriores, 6.1.2 y anteriores, 6.2.6 y anteriores, 6.3.16 y anteriores, 6.4 y anteriores.
Ambas vulnerabilidades permiten la ejecución remota de código.
Para la vulnerabilidad CVE-2022-39952 existen pruebas de concepto publicadas en Github.
Un indicador de compromiso para esta vulnerabilidad se puede encontrar en los logs del archivo: /bsc/logs/output.master.
Si el sistema fue vulnerado y los logs no fueron borrados por el atacante debería encontrarse la línea: “Running configApplianceXml”
Recomendaciones
En caso de estar usando alguno de estos sistemas, recomendamos actualizar inmediatamente a versiones seguras de acuerdo a lo publicado por Fortinet.
Referencias
https://www.fortiguard.com/psirt?date=02-2023
https://www.horizon3.ai/fortinet-fortinac-cve-2022-39952-deep-dive-and-iocs/