9 febrero, 2024

9VSA24-00974-01 CSIRT informa de nueva vulnerabilidad crítica en FortiOS SSL VPN de Fortinet

Resumen

El CSIRT de Gobierno comparte información de una nueva vulnerabilidad crítica que afecta a FortiOS SSL VPN, y que según la empresa estaría posiblemente siendo explotada.

Vulnerabilidades

CVE-2024-21762

Impacto

Vulnerabilidades de riesgo crítico:

CVE-2024-21762: Vulnerabilidad de escritura fuera de límites en FortiOS, puede permitir a un atacante remoto no autenticado la ejecución de código o comandos arbitrarios a través de solicitudes HTTP especialmente diseñadas. CVSS: 9.6.

Mitigación

Actualizar según versión siguiendo las instrucciones en https://docs.fortinet.com/upgrade-tool.

FortiOS 7.4 (versiones 7.4.0 a 7.4.2) – Actualizar a 7.4.3 o posterior

FortiOS 7.2 (versiones 7.2.0 a 7.2.6) – Actualizar a 7.2.7 o posterior

FortiOS 7.0 (versiones 7.0.0 a 7.0.13) – Actualizar a 7.0.14 o posterior

FortiOS 6.4 (versiones 6.4.0 a 6.4.14) – Actualizar a 6.4.15 o posterior

FortiOS 6.2 (versiones 6.2.0 a 6.2.15) – Actualizar a 6.2.16 o posterior

FortiOS 6.0 (versiones 6.0 todas las versiones) – Migrar a una versión parchada.

Productos afectados

FortiOS 7.4 (versiones 7.4.0 a 7.4.2)

FortiOS 7.2 (versiones 7.2.0 a 7.2.6)

FortiOS 7.0 (versiones 7.0.0 a 7.0.13)

FortiOS 6.4 (versiones 6.4.0 a 6.4.14)

FortiOS 6.2 (versiones 6.2.0 a 6.2.15)

FortiOS 6.0 (versiones 6.0 todas las versiones)

Enlaces

https://fortiguard.fortinet.com/psirt/FG-IR-24-015

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA24-00973-01.

9VSA24-00974-01 CSIRT informa de nueva vulnerabilidad crítica en FortiOS SSL VPN de Fortinet