Fortinet ha emitido un aviso de seguridad importante relacionado con una vulnerabilidad en su sistema operativo, FortiOS, identificada como «Incorrect Provision of Specified Functionality» (CWE-684). Este fallo permite que un atacante autenticado localmente ejecute comandos del sistema en dispositivos FortiGate a través de órdenes CLI personalizadas. A pesar de que no se trata de un 0-day remoto sin credenciales, el riesgo operativo es significativo, especialmente en entornos donde la consola CLI está accesible para varios usuarios. La compañía ha lanzado versiones corregidas y ha especificado las ramas y modelos afectados, subrayando la importancia de actualizaciones rápidas y medidas de endurecimiento del acceso administrativo.
Versiones Afectadas y Correcciones Disponibles
Las versiones afectadas de FortiOS incluyen la 7.6.0, versiones de la 7.4.0 a la 7.4.5, de la 7.2.0 a la 7.2.10, de la 7.0.0 a la 7.0.15 y todas las versiones de la 6.4, aunque para la última no hay un fix directo disponible y se recomienda migrar a una rama soportada. Las versiones corregidas son la 7.6.1 o superior, 7.4.6 o superior, 7.2.11 o superior, y 7.0.16 o superior.
Modelos FortiGate Impactados
El aviso destaca una lista de modelos FortiGate afectados, entre los que se incluyen las series 100E/101E, 100F/101F, 1100E/1101E, hasta llegar a los modelos 7000E y 7000F. No obstante, si un dispositivo ejecuta una versión vulnerable, se insta a verificar el modelo y planificar la actualización inmediatamente.
Importancia de la Vulnerabilidad
Aunque la explotación de esta vulnerabilidad requiere autenticación, el escenario es crítico dado que muchas organizaciones permiten múltiples administradores o integraciones con LDAP/AD/RADIUS. La existencia de jump-hosts y VPN de administración aumentan el riesgo si no están bien segmentados o no usan autenticación multifactor (MFA).
Plan de Acción Recomendado
- Inventario y Verificación: Implemente un inventario completo de dispositivos FortiGate y verifique versiones.
- Endurecimiento Previo: Si el parche no puede aplicarse de inmediato, restrinja el acceso administrativo a IPs de confianza y habilite MFA.
- Estrategia de Actualización: Realice backups de configuraciones y siga las mejores prácticas para actualizaciones en casos de HA/VDOM.
- Verificación Post-Parche: Confirme la versión final y realice pruebas funcionales, revisando logs de administración.
Buenas Prácticas Permanentes
Para reducir el riesgo de futuros fallos, Fortinet recomienda prácticas como administrar dispositivos solo desde una red de gestión separada, usar cuentas nominativas, minimizar la exposición CLI y mantener actualizadas las políticas internas de gestión de vulnerabilidades.
Perspectiva para Dirección y Compliance
El riesgo de esta vulnerabilidad abarca la ejecución de comandos por usuarios autenticados, comprometiendo confidencialidad, integridad y disponibilidad del dispositivo. Las acciones sugeridas incluyen actualizar a versiones corregidas y endurecer el acceso administrativo. Se recomienda conservar evidencia del proceso de parcheo y actualizar políticas internas.
Esclarecimiento de Términos
La expresión «atacante autenticado local» no exige presencia física, sino acceso válido a la interfaz de administración, lo que puede incluir operadores internos o proveedores. Por ello, es crucial limitar la administración a redes de gestión, exigir MFA y auditar accesos para prevenir incidentes.
Conclusión
En resumen, si su dispositivo FortiGate corre una versión afectada, es esencial realizar la actualización a las versiones corregidas lo antes posible. Mientras tanto, cierre la administración a IPs de confianza, active la autenticación multifactor y vigile los logs de CLI para mitigar riesgos potenciales.
