Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica en FortiPortal, el portal de autoservicio para FortiManager y sistema de gestión de análisis de seguridad alojado para algunas de las familias de productos Fortinet más populares. Según el reporte, la explotación exitosa de esta falla podría resultar en un escenario de hacking crítico.
Identificada como CVE-2021-36171, la vulnerabilidad existe debido a un débil generador de números pseudoaleatorios en la función de restablecimiento de contraseña, lo que los actores de amenazas remotos podrían aprovechar para adivinar partes de una contraseña recién generada, o bien la contraseña completa en el marco de tiempo determinado por la aplicación afectada.
Esta es una vulnerabilidad de alta severidad y su explotación exitosa permitiría a los atacantes obtener acceso total al sistema vulnerable. Esta falla recibió un puntaje de 7.1/10 según el Common Vulnerability Scoring System (CVSS).
Según el reporte, las fallas residen en todas las versiones de Fortinet FortiPortal entre v5.2.0 y v6.0.5.
Hasta el momento no se han detectado intentos de explotación activa relacionados con este reporte, no obstante, Fortinet recomienda a los usuarios de versiones vulnerables de FortiPortal aplicar las actualizaciones necesarias para mitigar el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad