Introducción
Fortinet ha publicado varios avisos de seguridad con el siguiente CVSSv3: CVE-2023-42789, CVE-2023-42790 y CVE-2023-48788
- FortiOS & FortiProxy – Out-of-bounds Write in captive portal
- FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
- Pervasive SQL injection in DAS component
- FortiClientEMS – CSV injection in log download feature
Recursos afectados
Afectan al sistema operativo, FortiOS, a FortiProxy, proxy web que protege ante ataques procedentes de Internet y la solución de administración de seguridad FortiClientEMS.
Versiones de FortiOS:
- 7.4.0-7.4.1
- 7.2.0-7.2.6
- 7.0.0-7.0.13
- 6.4.0-6.4.14
- 6.2.0-6.2.15
Versiones de FortiProxy:
- 7.4.0 – 7.4.2
- 7.2.0 – 7.2.8
- 7.0.0 – 7.0.14
- 2.0.0 – 2.0.13
Versiones de FortiClientEMS:
- 7.2.0-7.2.2
- 7.0.0-7.0.10
- Todas las versiones 6.4
- Todas las versiones 6.2
- Todas las versiones 6.0
Solución
Aplicar las últimas actualizaciones de seguridad. Fortinet ha corregido las vulnerabilidades anteriormente descritas. Se recomienda actualizar a las versiones indicadas:
Para los productos FortiOS:
- Actualizar a FortiOS versión 7.4.2 o superior.
- Actualizar a FortiOS versión 7.2.7 o superior.
- Actualizar a FortiOS versión 7.0.14 o superior.
- Actualizar a FortiOS versión 6.4.15 o superior.
- Actualizar a FortiOS versión 6.2.16 o superior.
Para los productos FortiProxy:
- Actualizar a FortiProxy versión 7.4.3 o superior.
- Actualizar a FortiProxy versión 7.2.9 o superior.
- Actualizar a FortiProxy versión 7.0.15 o superior.
- Actualizar a FortiProxy versión 2.0.14 o superior.
Para los productos FortiClientEMS:
- Actualizar a FortiClientEMS versión 7.2.3 o superior.
- Actualizar a FortiClientEMS versión 7.0.11 o superior.
- Para las demás versiones afectadas, se recomienda migrar a una versión actualizada de FortiClientEMS.
Se recomienda seguir la ruta de actualización recomendada por la herramienta de Fortinet.
Adicionalmente, Fortinet ha proporcionado medidas de mitigación alternativas de seguridad que deberán ser implementadas por aquellos administradores de sistemas que no sean capaces de aplicar las actualizaciones descritas.