Ranjivosti udaljenog izvršavanja koda (RCE) u Fortinet proizvodima
16. veljače 2023. Fortinet je objavio savjete vezane za kritične ranjivosti u FortiNAC i FortiWeb proizvodima koje mogu omogućiti neautentificiranim napadačima proizvoljno izvođenje koda ili izvođenje naredbi udaljenim pristupom.Prva ranjivost identificirana kao CVE-2022-39952 (CVSS ocjena 9.8) povezana je s FortiNAC proizvodom. FortiNAC je Fortinetovo rješenje za kontrolu pristupa mreži.
Druga ranjivost identificirana kao CVE-2021-42756 (CVSS ocjena 9.8) i povezana je s FortiWeb
proizvodom. FortiWeb je vatrozid za web aplikacije (WAF) koji štiti web aplikacije i API od napada koji ciljaju poznata i nepoznata iskorištavanja ranjivosti.
Tehnički detalji:
Ranjivost CVE-2022-39952 nastala je zbog vanjske kontrole naziva datoteke ili ranjivosti puta u FortiNAC web poslužitelju i može dopustiti neautentificiranom napadaču da izvede proizvoljno zapisivanje na sustav
Ranjivost CVE-2021-42756 uzrokovana je višestrukim ranjivostima prelijevanja međuspremnika temeljenom na stogu u FortiWebovom poslužiteljskom procesu i može omogućiti neautentificiranom udaljenom napadaču da postigne izvršavanje proizvoljnog koda putem specifično kreiranih HTTP zahtjeva.
Zahvaćeni proizvodi:
CVE-2022-39952:
- FortiNAC version 9.4.0;
- FortiNAC version 9.2.0 - 9.2.5;
- FortiNAC version 9.1.0 - 9.1.7;
- FortiNAC 8.8 sve verzije
- FortiNAC 8.7 sve verzije
- FortiNAC 8.6 sve verzije
- FortiNAC 8.5 sve verzije
- FortiNAC 8.3 sve verzije
- FortiWeb 5.x all versions;
- FortiWeb versions 6.0.7 i niže
- FortiWeb versions 6.1.2 i niže
- FortiWeb versions 6.2.6 i niže
- FortiWeb versions 6.3.16 i niže
- FortiWeb 6.4 sve verzije.
Ažuriranje FortiNAC prozvoda na verziju:
- FortiNAC version 9.4.1 ili viša
- FortiNAC version 9.2.6 ili viša
- FortiNAC version 9.1.8 ili viša
- FortiNAC version 7.2.0 ili viša
- FortiWeb 7.0.0 ili viša
- FortiWeb 6.3.17 ili viša
- FortiWeb 6.2.7 ili viša
- FortiWeb 6.1.3 ili viša
- FortiWeb 6.0.8 ili viša
[1] https://www.fortiguard.com/psirt/FG-IR-22-300
[2] https://www.fortiguard.com/psirt/FG-IR-21-186
[3] https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaws-in-fortinac-and-fortiweb/
[4] https://nvd.nist.gov/vuln/detail/CVE-2022-39952
[5] https://nvd.nist.gov/vuln/detail/CVE-2021-42756
[22.02.2023. - 15:35] - inicijalna publikacija
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava