Haavoittuvuus16/2022
Fortinet julkaisi päivityspaketit FortiOS, FortiProxy, FortiSwitchManager ja FortiTester -ohjelmistoihin, jotka korjaavat kriittiseksi luokiteltuja haavoittuvuuksia
FortiOS / FortiProxy / FortiSwitchManager
Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi saada pääkäyttäjätason oikeudet ilman todentamista verkon yli käyttöliittymään päästyään (CVE-2022-40684).
FortiTester
Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja kohdelaitteella (CVE-2022-33873).
Päivitykset on syytä asentaa pikimmiten.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Paikallisesti
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
FortiOS-ohjelmiston haavoittuvat versiot ovat: 7.0.0-7.0.6 ja 7.2.0-7.2.1
FortiProxy-ohjelmiston haavoittuvat versiot ovat: 7.0.0-7.0.6 ja 7.2.0.
FortiSwitchManager-ohjelmiston haavoittuvat versiot ovat: 7.0.0 ja 7.2.0.
FortiTester-ohjelmiston haavoittuvat versiot ovat 7.1.0, 7.0.0, 4.2.0, 4.1.0-4.1.1, 4.0.0, 3.9.0-3.9.1, 3.8.0, 3.7.0-3.7.1, 3.6.0, 3.5.0-3.5.1, 3.4.0, 3.3.0-3.3.1, 3.2.0, 3.1.0, 3.0.0, 2.9.0,2.8.0, 2.7.0, 2.6.0, 2.5.0, 2.4.0-2.4.1 ja 2.3.0.
Mistä on kysymys?
Päivitä FortiOS versiot 7.0.0-7.0.6 versioon 7.0.7.
Päivitä FortiOS versiot 7.2.0-7.2.1 versioon 7.2.2.
Päivitä FortiProxy versiot 7.0.0-7.0.6 versioon 7.0.7.
Päivitä FortiProxy versiot 7.2.0 versioon 7.2.1.
Päivitä FortiSwitchManager 7.2.0 tai 7.0.0 versioon 7.2.1.
Päivitä FortiTester versioon 7.2.0, 7.1.1, 4.2.1 tai 3.9.2
Mikäli päivittäminen ei ole mahdollista, voi haavoittuvuuden hyväksikäyttöä rajoittaa estämällä hallintakäyttöliittymään tulevia verkkoyhteyksiä palomuurisäännöillä.
Mitä voin tehdä?
Haavoittuvuuden havainnollistava esimerkkikoodi julkaistu