Resumen ejecutivo
Fortinet publicó un advisory para CVE-2024-26015, una vulnerabilidad de parseo incorrecto de números con diferentes bases (CWE-1389) en la validación de direcciones IP de FortiOS y FortiProxy. Un atacante remoto no autenticado puede evadir la protección de lista de bloqueo de IP enviando solicitudes con direcciones IP que contienen caracteres nulos (zero characters).
Productos afectados
| Producto | Versiones afectadas | Versión corregida |
|---|---|---|
| FortiOS | 7.4.0 – 7.4.3 | 7.4.4 o superior |
| FortiOS | 7.2.0 – 7.2.8 | 7.2.9 o superior |
| FortiOS | Todas las 7.0 | Migrar a rama corregida |
| FortiProxy | 7.4.0 – 7.4.3 | 7.4.4 o superior |
| FortiProxy | 7.2.0 – 7.2.16 | Migrar a rama corregida |
Detalle técnico
El motor de validación de direcciones IP en las políticas de firewall no maneja correctamente caracteres nulos (0x00) incrustados en representaciones de direcciones IP. Un atacante puede usar formatos como 192.168.0\x001.1 para que la dirección sea interpretada de manera distinta por el parser del firewall y por el servidor destino, permitiendo evadir reglas de bloqueo.
El impacto práctico es bajo porque requiere condiciones específicas de configuración y la evasión solo aplica a políticas basadas en listas de IP.
Mitigación
- Actualizar a las versiones corregidas
- Complementar listas de bloqueo por IP con políticas basadas en otros criterios (FQDN, categorías web, etc.)
- Habilitar IPS para detectar solicitudes con formatos de IP anómalos