9VSA23-00794-01 CSIRT comparte vulnerabilidad en FortiOS y FortiAuthenticator

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una vulnerabilidad crítica en FortiOS y FortiAuthenticator.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidad

CVE-2022-22302

Impacto

Esta vulnerabilidad puede permitir que una parte local no autorizada recupere las claves privadas de Fortinet utilizadas para establecer una comunicación segura con los servicios Apple Push Notification y Google Cloud Messaging, mediante el acceso a los archivos en el sistema de archivos.

Productos afectados

FortiOS versión 6.4.0 a 6.4.1

FortiOS versión 6.2.0 a 6.2.9

FortiOS versión 6.0.0 a 6.0.13

FortiAuthenticator versión 6.1.0

FortiAuthenticator versión 6.0.0 a 6.0.4

FortiAuthenticator 5.5 todas las versiones

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://www.fortiguard.com/psirt/FG-IR-20-014

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22302

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00794-01