Fortinet güvenlik güncellemeleri yayınladı adres 40 güvenlik açığı diğerleri arasında FortiWeb, FortiOS, FortiNAS ve FortiProxy dahil olmak üzere yazılım serisinde.
40 kusurdan ikisi Kritik, 15’i Yüksek, 22’si Orta ve biri Düşük olarak derecelendirilmiştir.
Listenin başında FortiNAC ağ erişim kontrolü çözümünde (CVE-2022-39952, CVSS puanı: 9.8) bulunan ve rastgele kod yürütülmesine yol açabilecek ciddi bir hata var.
“Dosya adı veya yol güvenlik açığının harici kontrolü [CWE-73] FortiNAC web sunucusu, kimliği doğrulanmamış bir saldırganın sistemde rasgele yazma yapmasına izin verebilir,” Fortinet söz konusu bu hafta başlarında bir danışma belgesinde.
Güvenlik açığından etkilenen ürünler şu şekildedir:
- FortiNAC sürüm 9.4.0
- FortiNAC sürüm 9.2.0 ila 9.2.5
- FortiNAC sürüm 9.1.0 ila 9.1.7
- FortiNAC 8.8 tüm sürümler
- FortiNAC 8.7 tüm sürümler
- FortiNAC 8.6 tüm sürümler
- FortiNAC 8.5 tüm sürümleri ve
- FortiNAC 8.3 tüm sürümleri
Yamalar FortiNAC 7.2.0, 9.1.8, 9.1.8 ve 9.1.8 sürümlerinde yayınlandı. Sızma testi firması Horizon3.ai söz konusu “yakında” kusur için bir kavram kanıtı (PoC) kodu yayınlamayı planlıyor ve bu da kullanıcıların güncellemeleri uygulamak için hızlı hareket etmesini zorunlu kılıyor.
İkinci not kusuru, FortiWeb’in proxy arka plan programında (CVE-2021-42756CVSS puanı: 9.3), kimliği doğrulanmamış bir uzak saldırganın özel olarak hazırlanmış HTTP istekleri yoluyla rasgele kod yürütmesini sağlayabilir.
CVE-2021-42756, FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 ve 7.0.0 sürümlerinde bulunan düzeltmelerle FortiWeb’in aşağıdaki sürümlerini etkiler –
- FortiWeb sürümleri 6.4 tüm sürümler
- FortiWeb sürümleri 6.3.16 ve altı
- FortiWeb sürümleri 6.2.6 ve altı
- FortiWeb sürümleri 6.1.2 ve altı
- FortiWeb sürümleri 6.0.7 ve altı ve
- FortiWeb sürümleri 5.x tüm sürümler
Fortinet, her iki kusurun da ürün güvenlik ekibi tarafından şirket içinde keşfedildiğini ve rapor edildiğini söyledi. İlginç bir şekilde, CVE-2021-42756’nın da 2021’de tanımlandığı ancak şimdiye kadar kamuya açıklanmadığı görülüyor.