Kritična ranjivost u FortiSIEM sigurnosnom alatu
Dana 14. studenog, tvrtka Fortinet je izdala sigurnosnu obavijest o kritičnoj ranjivosti koja zahvaća FortiSIEM sigurnosno rješenje. Ranjivost je identificirana kao CVE-2023-36553 (CVSS ocjena 9.3 od 10), a proizlazi iz nepravilne neutralizacije posebnih elemenata u FortiSIEM izvještajnom poslužitelju (engl. report server) te omogućuje udaljenom neautentificiranom napadaču izvršavanje neovlaštenih naredbi putem proizvoljnih API zahtjeva.
Zahvaćeni proizvodi:
- FortiSIEM 5.4, sve verzije;
- FortiSIEM 5.3, sve verzije;
- FortiSIEM 5.2, sve verzije;
- FortiSIEM 5.1, sve verzije;
- FortiSIEM 5.0, sve verzije;
- FortiSIEM 4.10, sve verzije;
- FortiSIEM 4.9, sve verzije;
- FortiSIEM 4.7, sve verzije.
Preporuke:
Preporuka je žurno ažuriranje zahvaćenog softvera na najnovije dostupne verzije.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.fortiguard.com/psirt/FG-IR-23-135
- https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-command-injection-bug-in-fortisiem/
- https://thehackernews.com/2023/11/cisa-adds-three-security-flaws-with.html
[inicijalna objava: 24.11.2023 - 09:53]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava