Una omisión de autenticación por vulnerabilidad de datos supuestamente inmutables [CWE-302] en el componente de inicio de sesión SSH de FortiOS puede permitir que un atacante remoto y no autenticado inicie sesión en el dispositivo mediante el envío de una respuesta de Desafío de acceso especialmente diseñada desde el servidor Radius.

FortiOS versión 7.2.0 a 7.2.1, versión 7.0.0 a 7.0.7, versión 6.4.0 a 6.4.9, y todas las versiones de 6.2 y 6.0. FortiProxy versión 7.0.0 a 7.0.6, versión 2.0.0 a 2.0.10, y todas las versiones de 1.2.0.

Se recomienda actualizar a FortiOS versión 7.2.2 o superior, versión 7.0.8 o superior, y versión 6.4.10 o superior. Se recomienda actualizar a FortiProxy versión 7.0.7 o superior y versión 2.0.11 o superior.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es