Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad reside en la forma en que ciertos productos de Fortinet manejan las cookies hash en solicitudes HTTP. Al enviar una cookie maliciosamente diseñada, un atacante puede provocar un desbordamiento de búfer en la pila, lo que le permite ejecutar código arbitrario en el sistema afectado. Esta falla ha sido explotada activamente en entornos reales, especialmente en dispositivos FortiVoice, donde se han observado actividades maliciosas como escaneo de red, eliminación de registros y captura de credenciales.
Recursos afectados
- FortiVoice: versiones 7.2.0, 7.0.0–7.0.6, 6.4.0–6.4.10
- FortiRecorder: versiones 7.2.0–7.2.3, 7.0.0–7.0.5, 6.4.0–6.4.5
- FortiMail: versiones 7.6.0–7.6.2, 7.4.0–7.4.4, 7.2.0–7.2.7, 7.0.0–7.0.8
- FortiNDR: versiones 7.6.0, 7.4.0–7.4.7, 7.2.0–7.2.4, 7.0.0–7.0.6
- FortiCamera: versiones 2.1.0–2.1.3, 2.0.x, 1.1.x
Solución
Fortinet ha lanzado actualizaciones que corrigen esta vulnerabilidad. Se recomienda encarecidamente actualizar a las siguientes versiones o superiores:
- FortiVoice: 7.2.1, 7.0.7, 6.4.11
- FortiRecorder: 7.2.4, 7.0.6, 6.4.6
- FortiMail: 7.6.3, 7.4.5, 7.2.8, 7.0.9
- FortiNDR: 7.6.1, 7.4.8, 7.2.5, 7.0.7
- FortiCamera: 2.1.4
Recomendaciones
- Actualizar inmediatamente los productos afectados a las versiones corregidas.
- Si la actualización no es posible de inmediato, restringir el acceso HTTP/HTTPS a los dispositivos afectados mediante firewalls o listas de control de acceso.
- Monitorear los registros de HTTP en busca de patrones inusuales, especialmente cookies hash de tamaño anormal.
- Revisar los dispositivos en busca de indicadores de compromiso, como procesos sospechosos o cuentas de usuario no autorizadas.
- Seguir las directrices proporcionadas por Fortinet en su aviso de seguridad FG-IR-25-254.