Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittisiä haavoittuvuuksia Fortinetin FortiOS, FortiProxy, FortiSwitchManager ja FortiTester-ohjelmistoissa

Haavoittuvuus16/2022

Julkaistu
Päivitetty

Fortinet julkaisi päivityspaketit FortiOS, FortiProxy, FortiSwitchManager ja FortiTester -ohjelmistoihin, jotka korjaavat kriittiseksi luokiteltuja haavoittuvuuksia

FortiOS / FortiProxy / FortiSwitchManager

Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi saada pääkäyttäjätason oikeudet ilman todentamista verkon yli käyttöliittymään päästyään (CVE-2022-40684).

FortiTester 

Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja kohdelaitteella (CVE-2022-33873).

 

Päivitykset on syytä asentaa pikimmiten.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Paikallisesti
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

FortiOS-ohjelmiston haavoittuvat versiot ovat: 7.0.0-7.0.6 ja  7.2.0-7.2.1

FortiProxy-ohjelmiston haavoittuvat versiot ovat: 7.0.0-7.0.6 ja 7.2.0.

FortiSwitchManager-ohjelmiston haavoittuvat versiot ovat: 7.0.0 ja 7.2.0.

FortiTester-ohjelmiston haavoittuvat versiot ovat 7.1.0, 7.0.0, 4.2.0, 4.1.0-4.1.1, 4.0.0, 3.9.0-3.9.1, 3.8.0, 3.7.0-3.7.1, 3.6.0, 3.5.0-3.5.1, 3.4.0, 3.3.0-3.3.1, 3.2.0, 3.1.0, 3.0.0, 2.9.0,2.8.0, 2.7.0, 2.6.0, 2.5.0, 2.4.0-2.4.1 ja  2.3.0.

Mistä on kysymys?

Päivitä FortiOS versiot 7.0.0-7.0.6 versioon 7.0.7.
Päivitä FortiOS versiot 7.2.0-7.2.1 versioon 7.2.2.
Päivitä FortiProxy versiot 7.0.0-7.0.6 versioon 7.0.7.
Päivitä FortiProxy versiot 7.2.0 versioon 7.2.1.
Päivitä FortiSwitchManager 7.2.0 tai 7.0.0 versioon 7.2.1.
Päivitä FortiTester versioon 7.2.0, 7.1.1, 4.2.1 tai 3.9.2

Mikäli päivittäminen ei ole mahdollista, voi haavoittuvuuden hyväksikäyttöä rajoittaa estämällä hallintakäyttöliittymään tulevia verkkoyhteyksiä palomuurisäännöillä.

Mitä voin tehdä?

https://www.fortiguard.com/psirt/FG-IR-22-377 (ulkoinen linkki) (Ulkoinen linkki)
https://www.fortiguard.com/psirt/FG-IR-22-237 (ulkoinen linkki) (Ulkoinen linkki)

 

Haavoittuvuuden havainnollistava esimerkkikoodi julkaistu