Vulnerabilidades en FortiOS
Desde Fortinet nos avisan de tres vulnerabilidades que afectan a sus equipos con FortiOS:
- CVE-2019-15705: Esta vulnerabilidad de denegación de servicio se encuentra en el portal de VPN SSL. Debido a un indebido tratamiento de los datos de entrada permitiría a un atacante romper el servicio de VPN SSL con una petición POST específica.
- CVE-2019-6693: Esta vulnerabilidad permitiría a un atacante que sepa la hard-coded key obtener información sensible de los backups de las configuraciones de los dispositivos de Fortinet.
- CVE-2018-9195: Vulnerabilidad de Spoofing. El problema radica en el empleo de la harcoded cryptographic key en los protocolos de comunicación de los servicios de FortiGuard. Esto permitiría a un atacante, una vez habiendo averiguado la clave mediante un ataque de Man in the Middle, sustraer o modificar información.
Clasificación:
- Location: Remote access / network , Adjacent network
- Impact : Loss of confidentiality , Loss of Availability , Loss of Integrity
- Exploit : Exploit public
- Solution : Update
- Disclosure: Vendor verified
Productos
Las versiones afectadas son estas:
- Fortios 5.6.10 y anteriores
- Fortios 6.0.4
- Fortios 6.0.6 y anteriores
- Fortios 6.2.1 y anteriores
Soluciones
Desde Fortinet se recomienda actualizar para cerrar la posible explotación de dichas vulnerabilidades.
Referencias
- CVE ID
- Fortiguard Security Advisory
- Generic Exploit URL