Esta vulnerabilidade permite que un atacante remoto non autenticado execute código ou comandos arbitrarios mediante o envío de peticións especialmente manipuladas a través da rede. A súa explotación pode derivar no compromiso completo do sistema afectado.
No momento da súa publicación, a vulnerabilidade aínda non dispón dun identificador CVE asignado, se ben a súa gravidade foi cualificada como crítica debido á posibilidade de compromiso sen autenticación previa.
Sistemas e contornas con maior risco
O impacto é especialmente relevante en organizacións que empreguen:
- Firewalls Fortinet expostos á rede
- Contornas SASE
- Ferramentas de xestión centralizada de switches
- Interfaces de administración accesibles desde redes non confiables
Versións afectadas e corrección
Vense afectadas múltiples ramas de FortiOS, FortiSwitchManager e FortiSASE.
Recoméndase actualizar ás versións corrixidas ou superiores indicadas polo fabricante:
- FortiOS 7.6 → actualizar a 7.6.4 ou superior
- FortiOS 7.4 → actualizar a 7.4.9 ou superior
- FortiOS 7.2 → actualizar a 7.2.12 ou superior
- FortiOS 7.0 → actualizar a 7.0.18 ou superior
- FortiOS 6.4 → actualizar a 6.4.17 ou superior
- FortiSASE 25.2.b → corrixido na versión 25.2.c
- FortiSwitchManager 7.2 → actualizar a 7.2.7 ou superior
- FortiSwitchManager 7.0 → actualizar a 7.0.6 ou superior
Recoméndase comprobar as versións exactas despregadas e seguir as rutas de actualización oficiais do fabricante.
Medidas de mitigación temporais (se non é posible actualizar de inmediato)
Mentres non se aplique o parche correspondente, recoméndase implementar medidas de mitigación temporais para reducir a superficie de exposición.
Estas medidas non eliminan a vulnerabilidade, pero reducen o risco de explotación.
1. Desactivar o acceso “fabric” nas interfaces expostas
Eliminar o acceso fabric das interfaces de xestión accesibles desde a rede, mantendo unicamente os accesos estritamente necesarios desde redes de confianza (por exemplo, HTTPS ou SSH).
Exemplo de configuración:
config system interface
edit "port1"
set allowaccess ssh https
next
end
Esta configuración elimina o acceso fabric da interface indicada.
Debe adaptarse a cada contorna e aplicarse unicamente por persoal técnico cualificado.
2. Bloquear o tráfico CAPWAP-CONTROL
Restrinxir o tráfico CAPWAP-CONTROL (UDP portos 5246 a 5249) mediante políticas local-in, permitindo unicamente enderezos IP de confianza e bloqueando o resto do tráfico.
3. Restrinxir e segmentar as interfaces de administración
- Evitar a exposición directa das interfaces de xestión a Internet.
- Aplicar segmentación de rede e listas de control de acceso.
- Limitar o acceso exclusivamente a redes e sistemas autorizados.
4. Monitorización e detección
- Supervisar os rexistros do sistema na procura de actividade anómala asociada ao servizo cw_acd.
- Revisar accesos, erros e eventos inusuais nas interfaces de administración.
Recomendacións adicionais
- Priorizar a actualización inmediata dos sistemas afectados.
- Revisar a exposición das interfaces de xestión.
- Aplicar principios de mínimo privilexio e defensa en profundidade.
- Manter unha política activa de xestión de parches.
- Avaliar posibles indicadores de compromiso se os sistemas estiveron expostos.
Conclusión
Esta vulnerabilidade pon de manifesto a importancia de:
- Manter os dispositivos de seguridade correctamente actualizados.
- Reducir a superficie de exposición dos sistemas críticos.
- Non asumir que os dispositivos perimetrais están exentos de vulnerabilidades graves.
Recoméndase actuar coa máxima urxencia para reducir o risco de explotación.
