Fortinet Issues Patches for 40 Flaws Affecting FortiWeb, FortiOS, FortiNAC, and FortiProxy
Fortinet ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 40 รายการในกลุ่มซอฟต์แวร์ ได้แก่ FortiWeb, FortiOS, FortiNAC และ FortiProxy เป็นต้น ซึ่งช่องโหว่ 2 จาก 40 รายการนั้นถูกจัดอยู่ในระดับ Critical , 15 ถูกจัดอยู่ในระดับ High , 22 ถูกจัดอยู่ในระดับ Medium และอีกหนึ่งรายการถูกจัดอยู่ในระดับ Low ช่องโหว่ที่จัดอยู่ในระดับ Critical รายการแรกคือ CVE-2022-39952 (CVSS score: 98) ซึ่งเป็นช่องโหว่ที่อยู่ในโซลูชันการควบคุมการเข้าถึงเครือข่ายของ FortiNAC ที่อนุญาตให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดหรือคำสั่งที่ไม่ได้รับอนุญาตผ่านคำขอ HTTP ที่สร้างขึ้นโดยเฉพาะ
ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่มีดังนี้ ,FortiNAC เวอร์ชัน 940,FortiNAC เวอร์ชัน 920 ถึง 925,FortiNAC เวอร์ชัน 910 ถึง 917,FortiNAC 88 ทุกเวอร์ชัน,FortiNAC 87 ทุกเวอร์ชัน,FortiNAC 86 ทุกเวอร์ชัน,FortiNAC 85 ทุกเวอร์ชัน,FortiNAC 83 ทุกเวอร์ชัน และช่องโหว่ที่จัดอยู่ในระดับ Critical รายการที่สองคือ CVE-2021-42756 (CVSS score: 93) ซึ่งเป็นช่องโหว่ buffer overflow ใน proxy daemon ของ FortiWeb ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้โค้ดได้ตามอำเภอใจผ่านคำขอ HTTP ที่สร้างขึ้นมาโดยเฉพาะ
ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่มีดังนี้ ,FortiWeb เวอร์ชัน 64 ทุกเวอร์ชัน,FortiWeb เวอร์ชัน 6316 และต่ำกว่า,FortiWeb เวอร์ชัน 626 และต่ำกว่า,FortiWeb เวอร์ชัน 612 และต่ำกว่า,FortiWeb เวอร์ชัน 607 และต่ำกว่า,FortiWeb เวอร์ชั่น 5x ทุกเวอร์ชัน โดยช่องโหว่ทั้งสองถูกค้นและรายงานโดยทีมรักษาความปลอดภัยของ Fortinet แต่สิ่งที่น่าสนใจคือ CVE-2021-42756 ดูเหมือนจะถูกพบในปี 2021 แต่ยังไม่ได้เปิดเผยต่อสาธารณะจนถึงปัจจุบัน ทาง Fortinet แนะนำให้ผู้ใช้งานทำการอัปเดตแพตช์โดยด่วนเพื่อป้องกันการโจมตีต่างๆที่อาจเกิดขึ้น
https://thehackernews.com/2023/02/fortinet-issues-patches-for-40-flaws.html