Naslovnica » Sigurnosne objave » Kritične ranjivosti u FortiOS sustavu

Kritične ranjivosti u FortiOS sustavu

Dana 9. veljače 2024. godine, tvrtka Fortinet je izdala obavijest o kritičnim ranjivostima koje zahvaćaju FortiOS i čije iskorištavanje omogućuje udaljenom i neovlaštenom napadaču izvršavanje kôda (engl. remote code execution - RCE) na ranjivom uređaju. Jedna od kritičnih ranjivosti potencijalno se aktivno iskorištava. Preporučuje se žurno ažuriranje ranjivih sustava.

Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem:

Ranjivost CVE-2024-21762 (CVSS ocjena 9.8), proizlazi iz neispravnih provjera parametara u FortiOS SSL-VPN sustavu. Udaljeni i neovlašteni napadač iskorištava ranjivost putem proizvoljnih HTTP zahtjeva, gdje smanjeni broj bajtova može biti kopiran izvan granica međuspremnika, što dovodi do korupcije memorije i preusmjeravanja prometa. Navedeno omogućuje izvršavanje proizvoljnog kôda ili naredbi.
Ranjivost CVE-2024-23113 (CVSS ocjena 9.8), proizlazi iz ranjivosti manipulacije znakovnim nizovima (engl. externally controlled format string vulnerability) u FortiOS fgfmd poslužiteljskom procesu (engl. daemon) i može omogućiti udaljenom neovlaštenom napadaču izvršavanje proizvoljnog kôda ili naredbi putem proizvoljno izrađenih zahtjeva.

Zahvaćene verzije:

FortiOS verzija 7.4.0 do 7.4.2;
FortiOS verzija 7.2.0 do 7.2.6;
FortiOS verzija 7.0.0 do 7.0.13;
FortiOS verzija 6.4.0 do 6.4.14;
FortiOS verzija 6.2.0 do 6.2.15;
FortiOS verzija 6.0 sve verzije (zahvaćene samo ranjivošću CVE-2024-21762).

Preporuke:

Preporučuje se žurna nadogradnja ranjivih verzija FortiOS sustava na najnoviju dostupnu inačicu.

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 9.2.2024 - 10:45]

Kritične ranjivosti u FortiOS sustavu

Normativni akti

Sigurnosna akreditacija

Standardi sigurnosti

Kriptografska zaštita

Prevencija i odgovor na RSI

Kibernetička sigurnosna certifikacija