Fortinet надає критичні оновлення безпеки для 40 уразливостей у своїх продуктах, включаючи FortiWeb, FortiOS, FortiNAC і FortiProxy.

Компанія Fortinet щойно випустила критичні оновлення безпеки для усунення 40 уразливостей у своїй колекції програмного забезпечення, наприклад FortiWeb, FortiOS, FortiNAC тощо. Дві вади отримали оцінку «Критичні», а 15 – проблеми високого рівня серйозності. Крім того, серед усіх виявлено 22 помилки із середнім рейтингом і одну помилку з низьким рівнем серйозності. Найвищим ризиком є ​​серйозна вразливість, яка існує в рішенні для контролю доступу до мережі FortiNAC (CVE-2022-39952; оцінка CVSS: 9,8), яка потенційно може уможливити виконання довільного коду, якщо зловмисник її правильно використає! «Зовнішнє керування вразливістю імені файлу або шляху [CWE-73] на веб-сервері FortiNAC може дозволити неавтентифікованому зловмиснику виконувати довільний запис у системі», — йдеться у повідомленні Fortinet на початку цього тижня.

Нижче наведено продукти, які піддаються вразливості:

• FortiNAC версії 9.4.0
• FortiNAC версії від 9.2.0 до 9.2.5
• FortiNAC версії 9.1.0–9.1.7
• FortiNAC 8.8 всі версії
• FortiNAC 8.7 всі версії
• FortiNAC 8.6 всі версії
• FortiNAC 8.5 всі версії та
• FortiNAC 8.3 всі версії

Рішуче наголошуємо на терміновості оновлення FortiNAC версій 7.2.0, 9.1.8 і 9.1.8 за допомогою випущених патчів – Horizon3.Ai повідомила, що незабаром випустить перевірочний код (PoC) для будь-якої існуючої вразливості у своїй системі! Дійте зараз, перш ніж ця серйозна проблема безпеки також стане вашою проблемою; захистіть себе, скориставшись цими оновленнями негайно! Проксі-демон FortiWeb чутливий до переповнення буфера на основі стека (CVE-2021-42756, оцінка CVSS: 9,3), що потенційно може дозволити неавтентифікованому віддаленому зловмиснику запровадити виконання довільного коду через спеціально створені запити HTTP. На щастя, версії FortiWeb 6.0.8, 6.1.3, 6.2 7.,6 3 .17 і 7 0 .0 містять необхідні виправлення цієї вразливості; усім користувачам рекомендується негайно оновити свої установки, щоб запобігти будь-яким зловмисним вторгненням у безпеку їхньої системи!

• FortiWeb версії 6.4 усі версії
• FortiWeb версії 6.3.16 і нижче
• FortiWeb версії 6.2.6 і нижче
• FortiWeb версії 6.1.2 і нижче
• FortiWeb версії 6.0.7 і нижче, а також
• FortiWeb версії 5.x усі версії

Команда безпеки продуктів Fortinet виявила та повідомила про обидва ці недоліки внутрішньо. Цікаво, що CVE-2021-42756, здається, було ідентифіковано в 2021 році, але відкрито не розкрито досі.