Fortinet ha advertido a los administradores que actualicen los firewalls FortiGate y los servidores proxy web FortiProxy a las últimas versiones, que abordan una vulnerabilidad de gravedad crítica.
La falla de seguridad (rastreada como CVE-2022-40684) es una omisión de autenticación en la interfaz administrativa que podría permitir que los actores de amenazas remotos inicien sesión en dispositivos sin parches.
“Una omisión de autenticación utilizando una ruta o canal alternativo [CWE-88] en FortiOS y FortiProxy puede permitir que un atacante no autenticado realice operaciones en la interfaz administrativa a través de solicitudes HTTP o HTTPS especialmente diseñadas”, explica Fortinet en un boletín de atención al cliente emitido hoy.
“Esta es una vulnerabilidad crítica y debe tratarse con la máxima urgencia”, agrega la compañía.
Fortinet también envió correos electrónicos a los clientes y les aconsejó que actualicen a las últimas versiones disponibles de inmediato.
“Debido a la capacidad de explotar este problema de forma remota, Fortinet recomienda encarecidamente a todos los clientes con las versiones vulnerables que realicen una actualización inmediata”, advirtió la compañía .
Según una búsqueda de Shodan , se puede acceder a más de 100,000 firewalls FortiGate desde Internet, aunque se desconoce si sus interfaces de administración también están expuestas.
Cortafuegos FortiGate expuestos a Internet
Cortafuegos FortiGate expuestos a Internet (Shodan)
La lista completa de productos vulnerables a los ataques que intentan explotar la falla CVE-2022-40 incluye:
FortiOS: De 7.0.0 a 7.0.6 y de 7.2.0 a 7.2.1
FortiProxy: De 7.0.0 a 7.0.6 y 7.2.0
Según el boletín de atención al cliente de hoy, Fortinet lanzó parches de seguridad el jueves, pidiendo a los clientes que actualicen los dispositivos vulnerables a las versiones 7.0.7 o 7.2.2 de FortiOS/FortiProxy .
Solución alternativa disponible hasta la implementación de parches
La empresa también proporciona una solución para aquellos que no pueden implementar actualizaciones de seguridad de inmediato.
Para evitar que los atacantes remotos eludan la autenticación e inicien sesión en implementaciones vulnerables de FortiGate y FortiProxy, los clientes deben limitar las direcciones IP que pueden llegar a la interfaz administrativa mediante una política local.
Sin embargo, como se reveló en una comunicación avanzada a “clientes seleccionados”, Fortinet aconseja a los administradores que deshabiliten las interfaces de usuario de administración remota para garantizar que se bloqueen los posibles ataques.
“Si estos dispositivos no se pueden actualizar de manera oportuna, Internet frente a la Administración HTTPS debe desactivarse inmediatamente hasta que se pueda realizar la actualización”, dijo Fortinet.
Un portavoz de Fortinet se negó a comentar cuando se le preguntó si la vulnerabilidad se explota activamente en la naturaleza e insinuó que la empresa compartiría más información en los próximos días.
“Las comunicaciones con los clientes a menudo detallan la orientación más actualizada y los próximos pasos recomendados para proteger y asegurar mejor su organización”, dijo el portavoz de Fortinet.
“Hay instancias en las que las comunicaciones confidenciales anticipadas con los clientes pueden incluir advertencias tempranas sobre Avisos para permitirles a los clientes fortalecer aún más su postura de seguridad, que luego se darán a conocer públicamente en los próximos días a una audiencia más amplia”.
Actualización 07 de octubre, 13:22 EDT: declaración de Fortinet agregada.
fuente: ampproject[.]org