Sistemas Afectados

• FortiOS versión 7.2.0 – 7.2.3
• FortiOS versión 7.0.0 – 7.0.9
• FortiOS versión 6.4.0 – 6.4.11
• FortiOS versión 6.2.0 – 6.2.12
• FortiOS 6.0 – En todas las versiones
• FortiProxy versión 7.2.0 – 7.2.2
• FortiProxy versión 7.0.0 – 7.0.8
• FortiProxy 2.0.0 – 2.0.11
• FortiProxy 1.2 – En todas las versiones
• FortiProxy 1.1 – En todas las versiones

Descripción

Fortinet publicó una alerta de correcciones a 15 fallos de seguridad, incluyendo una vulnerabilidad crítica que afecta a FortiOS y FortiProxy y que podría permitir a una amenaza tomar el control de los sistemas afectados. La vulnerabilidad, identificada como CVE-2023-25610, tiene una calificación de gravedad de 9,3 sobre 10 y fue descubierto internamente y notificado por sus equipos de seguridad.

Según explica el proveedor, la vulnerabilidad consiste en un desbordamiento de búfer (“buffer underflow”) en la interfaz administrativa de FortiOS y FortiProxy que puede permitir a un atacante remoto no autenticado ejecutar código arbitrario en los dispositivos y/o realizar una denegación de servicio en la interfaz gráfica de usuario, a través de solicitudes específicamente diseñadas.

Referencia

• Reporte de Fortinet

Solución

Se recomienda realizar actualizaciones de los aplicativos a las siguientes versiones según corresponda en la brevedad posible:

• FortiOS a las versiones 6.2.13, 6.4.12, 7.0.10, 7.2.4 y 7.4.0
• FortiOS-6K7K a las versiones 6.2.13, 6.4.12 y 7.0.10
• FortiProxy a las versiones 2.0.12, 7.0.9 y 7.0.9