CSIRT Panamá Aviso 2022-07-11 Fortinet: Vulnerabilidades de alto riesgo en productos Fortinet

TOPICS:actualizaciones avisos avisos de seguridad vulnerabilidades

Posted By: CSIRT Panamá July 11, 2022

CSIRT Panamá Aviso 2022-07-11 Fortinet: Vulnerabilidades de alto riesgo en productos Fortinet

Gravedad: Alta
Fecha de publicación: Julio 11, 2022
Última revisión: Julio 11, 2022
Sitio web: https://www.fortinet.com/lat
Sistemas Afectados:

• FortiAnalyzer, FortiManager, FortiOS y FortiProxy.
• FortiClient.
• FortiDeceptor versiones 1.0.0 a 4.0.1.
• FortiNAC versiones 8.3.7 a 9.2.3

I. Descripción

Se han publicado múltiples vulnerabilidades de severidad alta, que afectan a diversos productos Fortinet.

II. Impacto

Vulnerabilidad CVE-2021-43072:

Desbordamiento de buffer basado en lotes a través de comandos CLI en FortiAnalyzer, FortiManager, FortiOS y FortiProxy

Vulnerabilidad CVE-2021-41031:

Escalamiento de privilegios en FortiClient (Windows) a través de un ataque de directorio transversal (directory traversal attack).

Vulnerabilidad CVE-2022-30302:

Vulnerabilidades de salto de directorio (path traversal) en la interfaz de administración de FortiDeceptor.

Vulnerabilidad CVE-2022-26117:

Posible ejecución de código o comandos no autorizados en bases de datos MySQL en FortiNAC.

III. Referencia a soluciones, herramientas e información

Actualizar a las versiones correspondientes:

1.CVE-2021-43072: FortiAnalyzer, FortiManager, FortiOS y FortiProxy.
Enlace: https://www.fortiguard.com/psirt/FG-IR-21-206

2.CVE-2021-41031: FortiClient.
Enlace: https://www.fortiguard.com/psirt/FG-IR-21-190

3.CVE-2022-30302: FortiDeceptor versiones 1.0.0 a 4.0.1.
Enlace: https://www.fortiguard.com/psirt/FG-IR-21-213

4.CVE-2022-26117: FortiNAC versiones 8.3.7 a 9.2.3.
Enlace: https://www.fortiguard.com/psirt/FG-IR-22-058

Fuentes:

1.CSIRT Nacional de Chile. 9VSA22-00672-01 CSIRT alerta de vulnerabilidades de alto riesgo en productos Fortinet. 8 de Julio del 2022. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa22-00672-01/

Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124