کشف ۴۰ آسیب‌پذیری بر روی محصولات مختلف FortiNet: هرچه سریع‌تر این محصولات را آپدیت کنید

FortiNet برای رسیدگی به ۴۰ آسیب‌پذیری در نرم‌افزارهایش از جمله FortiWeb، FortiOS، FortiNAC، FortiProxy و… آپدیت‌های امنیتی منتشر کرد.

از نظر شدت، دو مورد از این ۴۰ آسیب‌پذیری بحرانی، ۱۵ مورد بالا، ۲۲ مورد متوسط، و یک مورد کم ارزیابی شده‌اند.

در صدر این فهرست باگی است که در راهکار کنترل شبکه‌ی دسترسی FortiNAC جای دارد (CVE-2022-39952، امتیاز CVSS، ۹.۸) و می‌تواند به اجرای کد دلخواه منجر شود.

FortiNet اوایل این هفته در اعلامیه‌ای گفت: «یکی از کنترل‌های خارجی آسیب‌پذیری اسم یا مسیر فایل (CWE-73) در وب سرور FortiNAC می‌تواند به مهاجم احرازهویت نشده اجازه‌ی اجرای دلخواهی عملیات Write را بدهد».

محصولاتی که تحت تأثیر این آسیب‌پذیری قرار می‌گیرند عبارت‌اند از:

  • FortiNAC نسخه‌ی ۹.۴.۰
  • FortiNAC نسخه‌های ۹.۲.۰ تا ۹.۲.۵
  • FortiNAC نسخه‌های ۹.۱.۰ تا ۹.۱.۷
  • FortiNAC 8.8 تمامی نسخه‌ها
  • FortiNAC 8.7 تمامی نسخه‌ها
  • FortiNAC 8.6 تمامی نسخه‌ها
  • FortiNAC 8.5 تمامی نسخه‌ها
  • FortiNAC 8.3 تمامی نسخه‌ها

 

برای  FortiNAC نسخه‌های ۷.۲.۰، ۹.۱.۸، ۹.۱.۸ و ۹.۱.۸ Patch منتشر شده است. شرکت تست نفوذ Horizon3.ai اعلام کرد که برنامه دارد «به زودی» کد Proof-of-Concept (PoC) برای این نقص منتشر کند و ضروری است که کاربران به‌سرعت اقدام به اِعمال آپدیت‌ها کنند.

دومین نقص قابل‌توجه مجموعه‌ی Buffer Overflow مبتنی بر پشته‌ای در دیمن پروکسی FortiWeb است (CVE-2021-42756،  امتیاز CVSS: 9.3) که می‌تواند مهاجم از راه دور احرازهویت نشده را قادر به اجرای کد دلخواه از طریق درخواست‌های HTTP مخصوص کند.

CVE-2021-42756 بر نسخه‌های زیر از FortiWeb اثرگذار است و در نسخه‌های ۶.۰.۸، ۶.۱.۳، ۶.۲.۷، ۶.۳.۱۷ و ۷.۰.۰ اصلاحات اعمال شده است.

  • FortiWeb نسخه‌های ۶.۴ تمام نسخه‌ها
  • FortiWeb نسخه‌های ۶.۳.۱۶ و پایین‌تر
  • FortiWeb نسخه‌های ۶.۲.۶ و پایین‌تر
  • FortiWeb نسخه‌های ۶.۱.۲ و پایین‌تر
  • FortiWeb نسخه‌های ۶.۰.۷ و پایین‌تر و
  • FortiWeb نسخه‌های نسخه‌های x.5 تمامی نسخه‌ها

به گفته‌ی FortiNet هر دو نقص در داخل کمپانی و توسط تیم امنیتی محصول کشف و گزارش شدند. جالب توجه است که CVE-2021-42756 به نظر در سال ۲۰۲۱ نیز شناسایی شده اما تا کنون به طور عمومی فاش نشده بود.

 

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.