Fortinet ha advertido en privado a sus clientes sobre una falla de seguridad que afecta a los firewalls de FortiGate y a los proxies web de FortiProxy que podrían permitir que un atacante realice acciones no autorizadas en dispositivos susceptibles.
rastreado como CVE-2022-40684la falla de alta severidad se relaciona con un vulnerabilidad de omisión de autenticación que podría permitir que un adversario no autenticado realice operaciones arbitrarias en la interfaz administrativa.
El problema afecta a las siguientes versiones y se ha solucionado en las versiones de FortiOS 7.0.7 y 7.2.2y la versión de FortiProxy 7.0.7 lanzado esta semana –
- FortiOS: de 7.0.0 a 7.0.6 y de 7.2.0 a 7.2.1
- FortiProxy: de 7.0.0 a 7.0.6 y 7.2.0
«Debido a la capacidad de explotar este problema de forma remota, Fortinet recomienda encarecidamente a todos los clientes con las versiones vulnerables que realicen una actualización inmediata», dijo la compañía. advertido en una alerta compartida por un investigador de seguridad llamado Gitworm en Twitter.
Cuando se le solicitó un comentario, Fortinet reconoció el aviso y señaló que está retrasando el aviso público hasta que sus clientes hayan aplicado las correcciones.
«Las comunicaciones oportunas y continuas con nuestros clientes son un componente clave en nuestros esfuerzos para proteger y asegurar mejor su organización», dijo la compañía en un comunicado compartido con The Hacker News. «Las comunicaciones con los clientes a menudo detallan la orientación más actualizada y los próximos pasos recomendados para proteger y asegurar mejor su organización».
«Hay casos en los que las comunicaciones confidenciales anticipadas con los clientes pueden incluir advertencias tempranas sobre avisos para permitirles a los clientes fortalecer aún más su postura de seguridad, que luego se darán a conocer públicamente en los próximos días a una audiencia más amplia. La seguridad de nuestros clientes es nuestra primera prioridad. «