Schedule a Strategy Call

FortiOS / FortiProxy – Heap buffer underflow Detectado en la interfaz administrativa

Vulnerabilidad encontrada en FortiOS y FortiProxy

Una vulnerabilidad de escritura de búfer (‘buffer underflow’) en la interfaz administrativa de FortiOS y FortiProxy podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en el dispositivo y / o realizar un DoS en la GUI, mediante solicitudes específicamente diseñadas.

Estado de explotación:

Fortinet no tiene conocimiento de ninguna instancia en la que se haya explotado esta vulnerabilidad en el mundo real. ‘Revisamos y probamos continuamente la seguridad de nuestros productos, y esta vulnerabilidad fue descubierta internamente dentro de ese marco’ dijo Fortinet.

Productos afectados

  • FortiOS versión 7.2.0 hasta 7.2.3
  • FortiOS versión 7.0.0 hasta 7.0.9
  • FortiOS versión 6.4.0 hasta 6.4.11
  • FortiOS versión 6.2.0 hasta 6.2.12
  • FortiOS 6.0 todas las versiones
  • FortiProxy versión 7.2.0 hasta 7.2.2
  • FortiProxy versión 7.0.0 hasta 7.0.8
  • FortiProxy versión 2.0.0 hasta 2.0.11
  • FortiProxy 1.2 todas las versiones
  • FortiProxy 1.1 todas las versiones

Incluso cuando se ejecuta una versión vulnerable de FortiOS, los dispositivos de hardware enumerados a continuación se ven afectados solo por la parte de DoS del problema, no por la ejecución de código arbitrario (los dispositivos no enumerados son vulnerables a ambas cosas):

  • FortiGateRugged-100C
  • FortiGate-100D
  • FortiGate-200C
  • FortiGate-200D
  • FortiGate-300C
  • FortiGate-3600A
  • FortiGate-5001FA2
  • FortiGate-5002FB2
  • FortiGate-60D
  • FortiGate-620B
  • FortiGate-621B
  • FortiGate-60D-POE
  • FortiWiFi-60D
  • FortiWiFi-60D-POE
  • FortiGate-300C-Gen2
  • FortiGate-300C-DC-Gen2
  • FortiGate-300C-LENC-Gen2
  • FortiWiFi-60D-3G4G-VZW
  • FortiGate-60DH
  • FortiWiFi-60DH
  • FortiGateRugged-60D
  • FortiGate-VM01-Hyper-V
  • FortiGate-VM01-KVM
  • FortiWiFi-60D-I
  • FortiGate-60D-Gen2
  • FortiWiFi-60D-J
  • FortiGate-60D-3G4G-VZW
  • FortiWifi-60D-Gen2
  • FortiWifi-60D-Gen2-J
  • FortiWiFi-60D-T
  • FortiGateRugged-90D
  • FortiWifi-60D-Gen2-U
  • FortiGate-50E
  • FortiWiFi-50E
  • FortiGate-51E
  • FortiWiFi-51E
  • FortiWiFi-50E-2R
  • FortiGate-52E
  • FortiGate-40F
  • FortiWiFi-40F
  • FortiGate-40F-3G4G
  • FortiWiFi-40F-3G4G
  • FortiGate-40F-3G4G-NA
  • FortiGate-40F-3G4G-EA
  • FortiGate-40F-3G4G-JP
  • FortiWiFi-40F-3G4G-NA
  • FortiWiFi-40F-3G4G-EA
  • FortiWiFi-40F-3G4G-JP
  • FortiGate-40F-Gen2
  • FortiWiFi-40F-Gen2
Solución
  • Actualice a FortiOS versión 7.4.0 o superior
  • Actualice a FortiOS versión 7.2.4 o superior
  • Actualice a FortiOS versión 7.0.10 o superior
  • Actualice a FortiOS versión 6.4.12 o superior
  • Actualice a FortiOS versión 6.2.13 o superior
  • Actualice a FortiProxy versión 7.2.3 o superior
  • Actualice a FortiProxy versión 7.0.9 o superior
  • Actualice a FortiProxy versión 2.0.12 o superior
  • Actualice a FortiOS-6K7K versión 7.0.10 o superior
  • Actualice a FortiOS-6K7K versión 6.4.12 o superior
  • Actualice a FortiOS-6K7K versión 6.2.13 o superior
Solución alternativa para FortiOS:
  • Desactivar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP que pueden acceder a la interfaz administrativa:

config firewall address
edit “my_allowed_addresses”
set subnet <MY IP> <MY SUBNET>
end

  • Luego, crea un Grupo de Direcciones:

config firewall addrgrp
edit “MGMT_IPs”
set member “my_allowed_addresses”
end

  • Crea la política local para restringir el acceso solo al grupo predefinido en la interfaz de gestión

config firewall local-in-policy
edit 1
set intf port1
set srcaddr “MGMT_IPs”
set dstaddr “all”
set action accept
set service HTTPS HTTP
set schedule “always”
set status enable
next
edit 2
set intf “any”
set srcaddr “all”
set dstaddr “all”
set action deny
set service HTTPS HTTP
set schedule “always”
set status enable
end

  • Si se utilizan puertos no predeterminados, crea un objeto de servicio adecuado para el acceso administrativo de la interfaz gráfica de usuario (GUI):

config firewall service custom
edit GUI_HTTPS
set tcp-portrange <admin-sport>
next
edit GUI_HTTP
set tcp-portrange <admin-port>
end

Utilice estos objetos en lugar de “HTTPS HTTP” en la política local de entrada 1 y 2

Cuando se utiliza una interfaz de gestión reservada para HA, la política local de entrada debe configurarse ligeramente diferente.

Consulte: https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configure-a-local-in-policy-on-a-HA/ta-p/222005

Back to all Post

Related Post