Gravedad: Crítica
Fecha de publicación: 29 mayo 2019
Fecha de modificación: 29 mayo 2019
Última revisión: Revisión A.
Fuente: PSIRT Advisory FortiGuard Labs
Sistemas Afectados
• FortiOS 5.6.3 hasta la 5.6.7.
• FortiOS 6.0.0 hasta la 6.0.4.
• Únicamente si el portal web de SSL VPN está habilitado en:
o FortiOS 5.6.0 hasta la 5.6.8
o FortiOS 5.4.1 hasta la 5.4.10.
o FortiOS 6.0.0 hasta la 6.04.
I. Descripción
El Equipo de Respuesta a Incidentes de Seguridad de Producto (PSIRT por sus siglas en inglés), ha publicado recientemente unos avisos de seguridad de riesgo considerable que afecta el sistema operativo de productos Fortinet. Las vulnerabilidades son:
a. Fuga de información de sistemas de archivos de FortiOS a través de peticiones de recurso HTTP especialmente diseñados. Solo las versiones 5.6.3 hasta la 5.6.7 y la 6.0.0 hasta la 6.0.4 son afectadas. Como remedio temporal sugieren deshabilitar el servicio del portal web de SSL VPN, pero para corregir de manera absoluta la vulnerabilidad se debe realizar la actualización a la versión FortiOS 5.6.8, 6.0.5 o 6.2.0.
b. Modificación de las credenciales de usuario de SSL VPN de manera no autenticada. Esta vulnerabilidad puede permitir a un atacante no autenticado cambiar las contraseñas de usuario en el portal web SSL VPN. Solo las versiones 5.6.0 hasta la 5.6.8, 5.4.1 hasta la 5.4.10 y la 6.0.0 hasta la 6.0.4 son afectadas cuando el portal web SSL VPN está activo. Como remedio temporal sugieren deshabilitar el servicio del portal web de SSL VPN, pero para corregir de manera absoluta la vulnerabilidad se debe realizar la actualización a la versión FortiOS 5.4.11,5.6.9, 6.0.5, 6.2.0 o superior.
Para mayor información sobre las acciones en línea de comando a ejecutar para una remediación temporal, referirse a la “sección III. Referencia a soluciones, herramientas e información”.
II. Impacto
Complejidad de Acceso: Alta.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial o total del sistema.
III. Referencia a soluciones, herramientas e información
a. https://fortiguard.com/psirt/FG-IR-18-384
b. https://fortiguard.com/psirt/FG-IR-18-389
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-mail: info@cert.pa
Web: http://cert.pa