Alertas de seguridad

Vulnerabilidad en FortiOS en conexión con FortiGate y servidores LDAP

¿En qué consiste la vulnerabilidad de FortiOS?

El caso CVE-2019-5591 relaciona la vulnerabilidad que posee el sistema operativo FortiOS cuando establece la comunicación predeterminada entre un Firewall FortiGate hacia servidores LDAP, afectando la seguridad de la integración de usuarios con servicios LDAP al permitir que un atacante no autorizado en la red LAN pueda interceptar información confidencial a través de ataques Man in the Middle haciéndose pasar por el servidor LDAP.

FortiOS semana 35

El impacto de la vulnerabilidad es bajo, pero se debe tener presente si el equipo FortiGate que posee la vulnerabilidad otorga permisos de seguridad y acceso a usuarios VPN SSL a través de la integración con sistemas de administración de usuarios LDAP.

Los sistemas operativos afectados de FortiOS para la vulnerabilidad informada son todos los sistemas FortiGate que posean la versión de FortiOs 6.2.0 y versiones inferiores.

Acciones recomendadas

Para los usuarios que poseen el rango de versiones de FortiOS 6.0.3-6.2.0, pueden habilitar la opción de verificación de identidad del servidor LDAP para evitar problemas de seguridad que pueden ser causados por la vulnerabilidad.

La opción es configurada por el CLI del firewall, solo se puede habilitar si se establece la seguridad y se utiliza certificado a través de LDAP. Los comandos utilizados son los siguientes:

  • config user ldap
  • edit ldap-server
  • set ca-cert
  • set secure ldaps
  • set server-identity-check enable

Se debe tener presente que para los FortiGate que tenían versiones anteriores de FortiOS 6.2.1 y son actualizados a dicha versión, no soluciona la vulnerabilidad al actualizar a la versión más reciente por razones de compatibilidad, ya que la aplicación de la configuración para la vulnerabilidad solo aplica si el FortiGate se instala desde cero de forma predeterminada en la versión 6.2.1.

Antes de realizar la actualización a la versión de FortiOS 6.2.1 se debe de realizar primero la configuración de habilitar la verificación de identidad del servidor LDAP para cubrir la vulnerabilidad, luego de realizar la configuración proceder con la actualización.