Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun
Suomi

Kriittisiä haavoittuvuuksia Fortinetin FortiOS, FortiProxy, FortiSwitchManager ja FortiTester-ohjelmistoissa

Haavoittuvuus16/2022

Julkaistu
Päivitetty

Fortinet julkaisi päivityspaketit FortiOS, FortiProxy, FortiSwitchManager ja FortiTester -ohjelmistoihin, jotka korjaavat kriittiseksi luokiteltuja haavoittuvuuksia

FortiOS / FortiProxy / FortiSwitchManager

Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi saada pääkäyttäjätason oikeudet ilman todentamista verkon yli käyttöliittymään päästyään (CVE-2022-40684).

FortiTester 

Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja kohdelaitteella (CVE-2022-33873).

 

Päivitykset on syytä asentaa pikimmiten.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Paikallisesti
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

FortiOS-ohjelmiston haavoittuvat versiot ovat: 7.0.0-7.0.6 ja  7.2.0-7.2.1

FortiProxy-ohjelmiston haavoittuvat versiot ovat: 7.0.0-7.0.6 ja 7.2.0.

FortiSwitchManager-ohjelmiston haavoittuvat versiot ovat: 7.0.0 ja 7.2.0.

FortiTester-ohjelmiston haavoittuvat versiot ovat 7.1.0, 7.0.0, 4.2.0, 4.1.0-4.1.1, 4.0.0, 3.9.0-3.9.1, 3.8.0, 3.7.0-3.7.1, 3.6.0, 3.5.0-3.5.1, 3.4.0, 3.3.0-3.3.1, 3.2.0, 3.1.0, 3.0.0, 2.9.0,2.8.0, 2.7.0, 2.6.0, 2.5.0, 2.4.0-2.4.1 ja  2.3.0.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä FortiOS versiot 7.0.0-7.0.6 versioon 7.0.7.
Päivitä FortiOS versiot 7.2.0-7.2.1 versioon 7.2.2.
Päivitä FortiProxy versiot 7.0.0-7.0.6 versioon 7.0.7.
Päivitä FortiProxy versiot 7.2.0 versioon 7.2.1.
Päivitä FortiSwitchManager 7.2.0 tai 7.0.0 versioon 7.2.1.
Päivitä FortiTester versioon 7.2.0, 7.1.1, 4.2.1 tai 3.9.2

Mikäli päivittäminen ei ole mahdollista, voi haavoittuvuuden hyväksikäyttöä rajoittaa estämällä hallintakäyttöliittymään tulevia verkkoyhteyksiä palomuurisäännöillä.

Lisätietoja

https://www.fortiguard.com/psirt/FG-IR-22-377 (ulkoinen linkki) (Ulkoinen linkki)
https://www.fortiguard.com/psirt/FG-IR-22-237 (ulkoinen linkki) (Ulkoinen linkki)

 

Haavoittuvuuden havainnollistava esimerkkikoodi julkaistu