Una vulnerabilidad de derivación de la autenticación de alta severidad que afecta a múltiples productos de seguridad Fortinet, incluidos los sistemas Fortios, Fortiproxy y Fortipam.
El defecto, designado como CVE-2024-26009 con una puntuación CVSS de 7.9, permite a los atacantes no autenticados confiscar el control completo de los dispositivos administrados mediante la explotación del protocolo de comunicación FortiGiGate to Fortimanager (FGFM).
Control de llave
1. CVE-2024-26009 Permite la derivación de la autenticación en los productos Fortinet.
2. Los atacantes obtienen acceso administrativo completo a dispositivos administrados.
3. Actualizar las versiones afectadas de Fortios, Fortiproxy y Fortipam de inmediato.
Vulnerabilidad de derivación de autenticación
La vulnerabilidad se deriva de un bypass de autenticación utilizando una ruta o canal alternativo, clasificado en CWE-288 (derivación de autenticación utilizando una ruta o canal alternativo).
Los atacantes pueden explotar esta debilidad elaborando solicitudes de FGFM maliciosas para dirigir dispositivos administrados por Forttimanager Systems.
El requisito previo crítico para la explotación exitosa es el conocimiento del atacante del número de serie del Fortimanager de Target, que sirve como un componente de autenticación clave en la implementación del protocolo comprometido.
El protocolo FGFM, diseñado para la comunicación segura entre los dispositivos FortiGate y los sistemas de gestión central, contiene un defecto de autenticación fundamental que permite la ejecución de comandos no autorizados.
Esta vulnerabilidad afecta las versiones heredadas en múltiples líneas de productos, con las versiones de Fortios 6.0 a 6.4.15 y 6.2.0 a 6.2.16 es particularmente vulnerable.
Las instalaciones de Fortiproxy que ejecutan versiones 7.0.0 a 7.0.15, 7.2.0 a 7.2.8 y 7.4.0 a 7.4.2 también están en riesgo.
El impacto potencial es severo, ya que la explotación exitosa otorga a los atacantes la capacidad de ejecutar código o comandos no autorizados en sistemas comprometidos, proporcionando efectivamente acceso a nivel administrativo a componentes críticos de infraestructura de red.
Investigadores de seguridad del equipo de seguridad de productos internos de Fortinet, dirigido por Théo Leleu, descubrió esta vulnerabilidad Durante las evaluaciones de seguridad de rutina.
Factores de riesgo DeteaLSafected ProductsFortios 6.0-6.4.15, Fortiproxy 7.0-7.4.2, Fortipam 1.0-1.2, Fortiswitchmanager 7.0-7.2.3ImpactExecute Código o comandos no autorizados, Número de SERIALES ADMINISTRITO. Gravedad)
Mitigaciones
Las organizaciones que utilizan versiones afectadas deben priorizar el parche inmediato. Fortinet recomienda actualizar las instalaciones de Fortios 6.4 a la versión 6.4.16 o superior, mientras que los usuarios de Fortios 6.2 deben actualizarse a 6.2.17 o más.
Los usuarios de Fortiproxy deben actualizar las versiones 7.0.16, 7.2.9 o 7.4.3, dependiendo de su instalación actual.
Las versiones heredadas de Fortipam 1.0, 1.1 y 1.2 requieren una migración completa a las versiones más nuevas, ya que los parches no están disponibles para estas versiones obsoletas.
Los administradores de la red deben utilizar la herramienta de actualización de Fortinet disponible en su portal de documentación para garantizar rutas de actualización adecuadas y minimizar posibles interrupciones del servicio durante el proceso de parcheo.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}