Fortinet ispravlja kritičnu ranjivost
Fortinet ispravlja kritičnu ranjivost bafera u nekoliko verzija FortiOS-a i FortiProxy-a. Ranjivost bi mogla omogućiti napadaču da izvrši pokretanje proizvoljnog kôda ili onemogući pristup korisničkom interfejsu, što bi moglo ugroziti korisnike.
Ranjivost
Ranjivost je označena kao CVE-2023-25610 (sa CVSS rezultatom 9,3), utiče na administrativni interfejs zahvaćenih proizvoda i može se iskoristiti za pristup bez autentifikacije korisnika, bilo za izvršenje proizvoljnog kôda ili za izazivanje stanja uskraćivanja usluge (eng. denial-of-service – DoS).
Kompanija Fortinet kaže da nema saznanja da se ova ranjivost iskorištava u zlonamjernim napadima, ali nije neuobičajeno da takve propuste iskoriste zlonamjerni akteri ubrzo nakon objavljivanja sigurnosnih ispravki.
Sigurnosne ispravke
Korisnici bi trebali ažurirati sve ranjive verzije FortiOS-a i FortiProxy-a što je prije moguće, kako bi zaštitili svoje uređaje od napadača. Lista svih pogođenih verzija je:
- FortiOS verzija 7.2.0 do verzije 7.2.3
- FortiOS verzija 7.0.0 do verzije 7.0.9
- FortiOS verzija 6.4.0 do verzije 6.4.11
- FortiOS verzija 6.2.0 do verzije 6.2.12
- FortiOS 0 sve verzije
- FortiProxy verzija 7.2.0 do verzije 7.2.2
- FortiProxy verzija 7.0.0 do verzije 7.0.8
- FortiProxy verzija 2.0.0 do verzije 2.0.11
- FortiProxy 2 sve verzije
- FortiProxy 1 sve verzije
Korisnici koji nisu u mogućnosti odmah da primjene ažuriranje, mogu onemogućiti HTTP/HTTPS administrativni interfejs ili postaviti ograničenja IP adrese za pristup interfejsu.