Especialistas en ciberseguridad han revelado el hallazgo de múltiples vulnerabilidades en Fortinet FortiADC; la severidad de estas fallas varía, así como los potenciales escenarios de explotación.
A continuación se presenta un breve perfil de cada una de las fallas descubiertas, con su respectiva clave del Common Vulnerability Scoring System (CVSS).
CVE-2020-9286: Esta es una vulnerabilidad existente en el producto afectado que existe debido a una inadecuada restricción de acceso, su explotación permitiría a un actor de amenazas remoto escalar privilegios en el sistema objetivo y realizar diversas tareas, como reiniciar el dispositivo de forma abrupta.
CVE-2020-6647: Esta falla permitiría a los atacantes remotos realizar ataques de scripts entre sitios (XSS) y existe debido a una insuficiente desinfección de los datos proporcionados por el usuario dentro del panel de FortiADC. Un hacker remoto podría engañar a un usuario para que siga un enlace especialmente diseñado y ejecute HTML arbitrario y código de script en el contexto de un sitio web inseguro.
La explotación exitosa de esta vulnerabilidad puede permitir que un atacante remoto robe información potencialmente confidencial, cambie la apariencia de un sitio web objetivo, realice ataques de phishing y drive-by-download.
El informe menciona que la compañía ya ha recibido el reporte y comenzó a trabajar de inmediato para corregir las fallas de seguridad. En la más reciente actualización sobre el hallazgo, Fortinet anunció que los parches de seguridad ya han sido lanzados para los usuarios, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Hasta el momento no se ha reportado el hallazgo de alguna variante de malware para explotar estas vulnerabilidades, aunque los usuarios no deben olvidar actualizar sus sistemas.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.