El BSI advierte contra la explotación activa de una vulnerabilidad crítica en Fortinet SSL VPN. El servicio de FortiOS, utilizado en los firewalls de FortiGate, permite a los atacantes ejecutar códigos o comandos maliciosos.
Según BSI, las empresas que usan firewalls FortiGate deben parchear sus dispositivos lo antes posible. La vulnerabilidad la determina el fabricante. Sistema común de puntuación de vulnerabilidades (CVSS) v3.1 calificado como "crítico" con un puntaje CVSS general de 9.3 sobre 10. Se asignó CVE-2022-42475 para la vulnerabilidad. Según el PSIRT de Fortinet (Equipo de respuesta a incidentes de seguridad de productos), existe una vulnerabilidad de desbordamiento de búfer basada en montón en el servicio SSL VPN.
FortiGate Firewalls: uso activo de la vulnerabilidad
El PSIRT de Fortinet indica que las siguientes versiones del producto están afectadas por la vulnerabilidad:
- FortiOS-6K7K versión 7.0.0 – 7.0.7
- FortiOS-6K7K versión 6.4.0 – 6.4.9
- FortiOS-6K7K versión 6.2.0 – 6.2.11
- FortiOS-6K7K versión 6.0.0 – 6.0.14
- FortiOS versión 7.2.0 – 7.2.2
- FortiOS versión 7.0.0 – 7.0.8
- FortiOS versión 6.4.0 – 6.4.10
- FortiOS versión 6.2.0 – 6.2.11
El fabricante Fortinet también anunció que ya se había observado un caso de explotación exitosa de la vulnerabilidad. Por lo tanto, se recomienda la implementación inmediata de las medidas del parche. Fortinet proporciona las instrucciones para los parches ya adecuados en su sitio web.
- FortiOS versión 7.2.3 o superior
- FortiOS versión 7.0.9 o superior
- FortiOS versión 6.4.11 o superior
- FortiOS versión 6.2.12 o superior
- FortiOS-6K7K versión 7.0.8 o superior
- FortiOS-6K7K versión 6.4.10 o superior
- FortiOS-6K7K versión 6.2.12 o superior
- FortiOS-6K7K versión 6.0.15 o superior
Acerca de la Oficina Federal para la Seguridad de la Información (BSI) La Oficina Federal para la Seguridad de la Información (BSI) es la autoridad federal de seguridad cibernética y el diseñador de la digitalización segura en Alemania. La declaración de misión: El BSI, como autoridad federal de seguridad cibernética, diseña la seguridad de la información en la digitalización a través de la prevención, detección y respuesta para el estado, las empresas y la sociedad.