Actualizaciones de seguridad para productos Fortinet

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Fortinet, que permitirían a un atacante realizar divulgación de información, inyección de comandos, ataques del tipo cross-site scripting (XSS), entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 9 (nueve) de severidad “Alta”, 10 (diez) de severidad “Media” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE-2022-41331 de severidad “Crítica”, con puntuación de 9.3. Esta vulnerabilidad se debe a una falla de control de acceso en FortiPresence. Esto permitiría a un atacante remoto no autenticado a través de solicitudes especialmente diseñadas, realizar omisión de autenticación y obtener el acceso al sistema afectado. 

• CVE-2022-27487, de severidad “Alta”, con puntuación de 8.3. Esta vulnerabilidad se debe a una falla de seguridad en FortiSandbox y FortiDeceptor. Esto permitiría a un atacante remoto a través del envío de solicitudes HTTP específicamente diseñadas, realizar escalamiento de privilegios y acceder a APIs no autorizadas del sistema afectado. 

• CVE-2022-41330, de severidad “Alta”, con puntuación de 8.3. Esta vulnerabilidad del tipo cross-site scripting (XSS) se debe a una falla de validación de datos de entrada de la interfaz administrativa en FortiOS y FortiProxy. Esto permitiría a un atacante no autenticado, a través del envío de solicitudes HTTP específicamente diseñadas, realizar ejecución de códigos o comandos arbitrarios en el sistema afectado. 

Para acceder al listado completo de vulnerabilidades ingrese aquí. 

Principales productos afectados son:  

• FortiPresence 1.2, todas las versiones. 
• FortiDeceptor, versión 4.1.0. 
• FortiSandbox, versión 4.2.0 a 4.2.2. 
• FortiProxy, versión 7.2.0 a 7.2.1. 
• FortiOS, versión 6.4.0 a 6.4.11. 

Puede acceder a la lista completa de los productos afectados en el siguiente enlace. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en el siguiente enlace: 

• https://www.fortiguard.com/psirt-monthly-advisory/april-2023-vulnerability-advisories 

Referencias: 

• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-fortinet-1 
• https://www.fortiguard.com/psirt-monthly-advisory/april-2023-vulnerability-advisories 
• https://nvd.nist.gov/vuln/detail/CVE-2022-27487 
• https://nvd.nist.gov/vuln/detail/CVE-2022-41330 
• https://www.fortiguard.com/psirt/FG-IR-22-355 
• https://www.fortiguard.com/psirt/FG-IR-22-056 
• https://www.fortiguard.com/psirt/FG-IR-22-363