9VSA24-00974-01 CSIRT informa de nueva vulnerabilidad crítica en FortiOS SSL VPN de Fortinet
El CSIRT de Gobierno comparte información de una nueva vulnerabilidad crítica que afecta a FortiOS SSL VPN, y que según la empresa estaría posiblemente siendo explotada.
Resumen
El CSIRT de Gobierno comparte información de una nueva vulnerabilidad crítica que afecta a FortiOS SSL VPN, y que según la empresa estaría posiblemente siendo explotada.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo crítico:
CVE-2024-21762: Vulnerabilidad de escritura fuera de límites en FortiOS, puede permitir a un atacante remoto no autenticado la ejecución de código o comandos arbitrarios a través de solicitudes HTTP especialmente diseñadas. CVSS: 9.6.
Mitigación
Actualizar según versión siguiendo las instrucciones en https://docs.fortinet.com/upgrade-tool.
FortiOS 7.4 (versiones 7.4.0 a 7.4.2) - Actualizar a 7.4.3 o posterior
FortiOS 7.2 (versiones 7.2.0 a 7.2.6) - Actualizar a 7.2.7 o posterior
FortiOS 7.0 (versiones 7.0.0 a 7.0.13) - Actualizar a 7.0.14 o posterior
FortiOS 6.4 (versiones 6.4.0 a 6.4.14) - Actualizar a 6.4.15 o posterior
FortiOS 6.2 (versiones 6.2.0 a 6.2.15) - Actualizar a 6.2.16 o posterior
FortiOS 6.0 (versiones 6.0 todas las versiones) – Migrar a una versión parchada.
Productos afectados
FortiOS 7.4 (versiones 7.4.0 a 7.4.2)
FortiOS 7.2 (versiones 7.2.0 a 7.2.6)
FortiOS 7.0 (versiones 7.0.0 a 7.0.13)
FortiOS 6.4 (versiones 6.4.0 a 6.4.14)
FortiOS 6.2 (versiones 6.2.0 a 6.2.15)
FortiOS 6.0 (versiones 6.0 todas las versiones)
Enlaces
https://fortiguard.fortinet.com/psirt/FG-IR-24-015
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA24-00973-01.