Fortinet opublikował informację o nowej, krytycznej podatności.
Podatność polega na możliwości ominięcia mechanizmu uwierzytelniania w produktach firmy Fortinet.
Podatności w Fortinet VPN-SSL: https://www.fortiguard.com/psirt/FG-IR-22-398
Podatność wykorzystuje lukę typu CWE-122 według Mitre: https://cwe.mitre.org/data/definitions/122.html – przepełnienie bufora.
Zalecane jest pilne wykonanie aktualizacji do wersji nie podatnej.
Krytyczność według CVSSv3: 9.3
Wpływ:
Wykonywanie nieautoryzowanego kodu lub poleceń bez potrzeby uwierzytelniania poprzez spreparowane odpowiednio żądania.
Podatne wersje:
FortiOS od 7.2.0 do 7.2.2
FortiOS od 7.0.0 do 7.0.8
FortiOS od 6.4.0 do 6.4.10
FortiOS od 6.2.0 do 6.2.11
FortiOS-6K7K od 7.0.0 do 7.0.7
FortiOS-6K7K od 6.4.0 do 6.4.9
FortiOS-6K7K od 6.2.0 do 6.2.11
FortiOS-6K7K od 6.0.0 do 6.0.14
Zalecany upgrade firmware:
FortiOS wersja 7.2.3 lub wyższa
FortiOS wersja 7.0.9 lub wyższa
FortiOS wersja 6.4.11 lub wyższa
FortiOS wersja 6.2.12 lub wyższa
FortiOS-6K7K wersja 7.0.8 lub wyższa
FortiOS-6K7K wersja 6.4.10 lub wyższa
FortiOS-6K7K wersja 6.2.12 lub wyższa
FortiOS-6K7K wersja 6.0.15 lub wyższa
Podatność jest aktywnie wykorzystywana. Należy zweryfikować swoje systemy pod kątem ewentualnej, udanej próby przełamania zabezpieczeń – zgodnie z zaleceniami producenta: https://www.fortiguard.com/psirt/FG-IR-22-398