CCVE-2024-21762 FortiOS - Out-of-bound Write in sslvpnd - crítica (score 9.6)

Una vulnerabilidad crítica (score 9.6) de escritura fuera de los límites [CWE-787] en FortiOS con el VPN SSL activado puede permitir que un atacante remoto no autenticado ejecute código o comando arbitrario a través de solicitudes HTTP especialmente diseñadas. Solución alternativa: desactivar la VPN SSL (desactivar el modo web NO es una solución alternativa válida). El fabricante Fortinet informó que esta vulnerabilidad se está explotando activamente por actores maliciosos en la red.

Tabla de versiones publicada por el fabricante:

Versión Afectado Solución
FortiOS 7.6 No afectado No aplica
FortiOS 7.4 7.4.0 hasta 7.4.2 Actualizar a 7.4.3 o superior
FortiOS 7.2 7.2.0 hasta 7.2.6 Actualizar a 7.2.7 o superior
FortiOS 7.0 7.0.0 hasta 7.0.13 Actualizar a 7.0.14 o superior
FortiOS 6.4 6.4.0 hasta 6.4.14 Actualizar a 6.4.15 o superior
FortiOS 6.2 6.2.0 hasta 6.2.15 Actualizar a 6.2.16 o superior
FortiOS 6.0 6.0 todas las versiones Migrar al release corregido

Urge corregir esta situación en los equipos que corren versión de FortiOS afectada.

Luego de pruebas en laboratorio para evaluar posibles impactos colaterales, los equipos de nuestros clientes que se encontraban afectados fueron migrados correctamente a las versiones corregidas del FortiOS.