Ir al contenido

Ir a la página principal

Agesic-Agencia de Gobierno Electrónico y Sociedad de la Información Presidencia de la República Oriental del Urguay
InicioNovedadesAlertas y vulnerabilidadesVulnerabilidad crítica de Fortinet FortiWeb
7/7/16

Vulnerabilidad crítica de Fortinet FortiWeb

Fortinet alerta acerca de una vulnerabilidad (CVE-2016-4066) de cross-site request forgery (CSRF) en dispositivos FortiWeb. Explotando esta vulnerabilidad, un atacante podría modificar la contraseña administrativa de FortiWeb. Accedé a las recomendaciones.

Fortinet ha publicado un boletín de seguridad para alertar de una vulnerabilidad (CVE-2016-4066) de cross-site request forgery (CSRF) en dispositivos FortiWeb. Explotando esta vulnerabilidad, un atacante podría modificar la contraseña administrativa de FortiWeb.

A quienes utilicen FortiWeb, se les recomienda actualizar a la versión FortWeb 5.5.3 o posterior.

Descripción

El problema con CVE-2016-4066 reside en un error de validación de las entradas del usuario que podría permitir a un atacante remoto realizar ataques de cross-site request forgery.

Cross-Site Request Forgery (CSRF) es un tipo de ataque que fuerza a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que se encuentra autenticado.

Los ataques del tipo CSRF están dirigidos a peticiones de cambio de estado, no así al robo de información, ya que el atacante no tiene forma de ver la respuesta a sus solicitudes. Si el atacante utiliza ingeniería social, como por ejemplo, el envío de un link via correo electrónico, puede engañar a los usuarios de una aplicación web para que ejecuten acciones a su elección. Si la víctima es un usuario con privilegios de administrador, CSRF podría llegar a comprometer la aplicación completamente.

Sistemas afectados:
Versiones anteriores de FortWeb 5.5.3.

Tipo de impacto:
Modificación de contraseña de usuario administrador.

Solución:
Para solucionarlo se debe actualizar a la versión FortWeb 5.5.3 o posterior.