Tin An Ninh Mạng

Fortinet tung bản vá lỗ hổng chiếm quyền điều khiển từ xa

Fortinet tung ban va lo hong chiem quyen dieu khien tu xa
Thứ 3 vừa qua Fortinet đã công bố bản vá cho nhiều lỗ hổng trong các sản phẩm an ninh mạng của họ, bao gồm các lỗ hổng nghiêm trọng dẫn đến việc thực thi chiếm quyền điều khiển
Lỗi nghiêm trọng này với mã CVE-2023-42789 với kiểu tấn công tràn bộ đệm trong FortiOS và FortiProxy có thể cho phép các kẻ tấn công thực thi mã hoặc lệnh thông qua các gói tin HTTP được tạo ra một cách tinh vi.

1710412659251.png

Được phát hiện bởi nhóm bảo mật sản phẩm của Fortinet nội bộ, vấn đề này đã được giải quyết cùng với CVE-2023-42790, một lỗ hổng tràn bộ đệm dựa trên ngăn xếp có mức độ nghiêm trọng cao cũng dẫn đến việc thực thi mã.
Cả hai lỗ hổng này ảnh hưởng đến sản phẩm trên FortiOS và FortiProxy và đã được vá ở phiên bản phát hành FortiOS 7.4.2, 7.2.6, 7.0.13, 6.4.15 và 6.2.16, cùng với các phiên bản FortiProxy 7.4.1, 7.2.7, 7.0.13 và 2.0.14.
Lỗ hổng nghiêm trọng thứ hai là CVE-2023-48788, liên quan đến kiểu tấn công SQL trong sản phẩm FortiClientEMS cho phép các kẻ tấn công không cần xác thực thực thi mã hoặc lệnh thông qua các yêu cầu được tạo.
Các lỗ hổng này đã được vá với việc phát hành các phiên bản FortiClientEMS 7.2.3 và 7.0.11.
Cần lưu ý rằng Fortinet đã đánh giá cả hai CVE-2023-42789 và CVE-2023-48788 đều có điểm CVSS là 9.3, trong khi NIST NVD đánh với số điểm CVSS là 9.8. Fortinet cũng không đề cập đến việc bất kỳ lỗ hổng nào được khai thác rộng rãi.
Các lỗ hổng bảo mật với mức độ nghiêm trọng vừa vừa trong FortiOS và FortiManager, FortiAnalyzer, FortiAnalyzer-BigData, và FortiPortal cũng đã được vá.

Người dùng và quản trị viên được khuyến khích áp dụng các bản vá có sẵn càng sớm càng tốt. Thêm thông tin về các lỗi có thể được tìm thấy trên trang thông báo PSIRT của Fortinet. CISA, cơ quan an ninh mạng của Mỹ, cảnh báo rằng việc khai thác thành công các vấn đề này có thể cho phép các nhà tác động đe dọa tiếp quản các hệ thống dễ bị khai thác.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !