Vulnerabilidades del kernel de Linux afectan a productos de Fortinet

02 Diciembre 2019
Alto

Después de 7 meses desde que Jonathan Looney, Gerente de Ingeniería Administrativa de Netflix, descubriera 3 vulnerabilidades presentes en el kernel de Linux, Fortinet ha comunicado que éstas afectan a algunos de sus productos. 

Las vulnerabilidades presentes explotan los productos: FortiGate, Fortianalyzer, FortiAP y FortiSwitch, estando susceptibles a una posible denegación de los servicios. 

Para mala noticia de quienes utilizan estas plataformas, solo existirían parches para FortiAnalyzer y FortiAP, quedando FortiGate y FortiSwitch solo con soluciones de configuración alternativas.

A continuación, se detalla el desencadenamiento de las vulnerabilidades según su CVE:  

  • CVE-2019-11477: Un atacante remoto puede aprovecharlo para bloquear inmediatamente un sistema debido a un desbordamiento de enteros al procesar SACK TCP.
  • CVE-2019-11478: El kernel de Linux es vulnerable a una falla que permite a los atacantes enviar una secuencia diseñada de SACK que fragmentaría la cola de retransmisión de TCP. Un atacante podría explotar aún más la cola fragmentada para provocar un costoso recorrido de la lista vinculada para los SACK posteriores recibidos para esa misma conexión TCP.
  • CVE-2019-11479: El kernel de Linux es vulnerable a una falla que permite a los atacantes enviar paquetes diseñados con valores MSS bajos para provocar un consumo excesivo de recursos. Esto aumenta drásticamente el ancho de banda requerido para entregar la misma cantidad de datos. Este ataque requiere un esfuerzo continuo del atacante y los impactos terminarán poco después de que el atacante deje de enviar tráfico.

Se recomienda lo siguiente: 

  • FortiAnalyzer: Actualizar a la versión 6.0.7 o superior, ó 6.2.1 o superior.
  • FortiAP:  Actualizar a la versión 6.0.6 o superior, ó 6.2.1 o superior.
  • FortiSwitch (solución alternativa):
    Bloquear las conexiones con bajos valores de MSS. El administrador puede aplicar un límite de MSS superior o inferior según corresponda a su entorno.
    Versiones 3.6.11 y superiores; 6.0.5 y superior y 6.2.2 y superior admiten los siguientes comandos CLI que permiten al administrador configurar un valor mínimo de MSS:

config system global

set tcp-mss-min ( Minumum allowed TCP MSS value in bytes (48-10000, default=48))

set tcp6-mss-min ( Minumum allowed TCP MSS value in bytes (48-10000, default=48))

end

  • FortiGate (solución alternativa):
    La firma IPS Linux.Kernel.TCP.SACK.Panic.DoS (https://www.fortiguard.com/encyclopedia/ips/48103/linux-kernel-tcp-sack-panic-dos) se puede usar para bloquear conexiones con valores pequeños de MSS (por defecto menores de 60 bytes). El cliente puede cambiar el valor de MSS a un valor que sea más apropiado para su entorno, para hacerlo, los clientes deben escribir su propia firma IPS. En la GUI, está en “Security profiles --> Intrusion Prevention.”

El listado de las CVE se adjunta a continuación:


Tags: #Fortinet #FortiSwitch #FortiAP #FortiGate #FortiAnalyzer #Vulnerabilidad #Parche #MSS #TCP #SACK #Linux
  • Productos Afectados
  • Producto Versión
    Fortinet Fortianalyzer versión inferior a 6.0.7
    FortiAP versión inferior a 6.0.6
    FortiGate
    FortiSwitch


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.