Nivel de peligrosidad: ALTO
Se ha publicado una vulnerabilidad en FortiOS, el sistema operativo de Fortinet altamente utilizado en entornos empresariales que proporciona servicios de protección de endpoints.
CVE-2020-12820: Se trata de una vulnerabilidad de desbordamiento del stack buffer, es decir, la memoria temporal, en FortiGate que podría permitir a un atacante autenticado en la SSL VPN bloquear el proceso FortiClient NAC daemon (fcnacd) e incluso ejecutar código arbitrario a través de una petición de un nombre de archivo FortiClient de gran tamaño.
La base de datos del NIST aún no ha registrado la vulnerabilidad ni otorgado puntuación de acuerdo a CVSSv3, si bien Fortinet la ha calificado como alta dado que podría ser explotada de forma remota, aunque el hecho de que requiera autenticación disminuye la peligrosidad. Por el momento no se tiene conocimiento de la explotación activa de la vulnerabilidad, ni la existencia de exploits públicamente disponibles que aprovechen la vulnerabilidad.
Recursos afectados:
- FortiOS versión 6.0.10 y anteriores.
- FortiOS versión 5.6.12 y anteriores.
Solución a la vulnerabilidad:
Para solucionar la vulnerabilidad, actualizar a:
- FortiOS versión 6.0.11 o posteriores.
- FortiOS versión 5.6.13 o posteriores.
Ambas versiones se encuentran disponibles para su descarga a través del sitio de soporte y servicio al cliente de Fortinet, para cuyo acceso será necesario autenticarse como cliente.
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Como medidas de mitigación alternativas a las actualizaciones lanzadas por Fortinet, este recomienda comprobar que Fortiheartbeat, herramienta diseñada para ofrecer visualizaciones detalladas de las tipologías de red y respuesta ante incidentes, y Endpoint-Compliance, utilizado para el control de endpoints, no se encuentren habilitados en la misma interfaz. Para desactivarlos, se recomienda seguir los siguientes comandos de la CLI en una interfaz particular:
config system interface edit interface set endpoint-compliance disable
(<-- Disabled by default)
set fortiheartbeat disable
next end
Referencias:
