Af Eskil Sørensen, 21/02/23
Fortinet har udsendt patches til håndtering af 40 fejl, der påvirker flere produkter i Fortinets softwareprogram.
Det skriver The Hacker News og en række andre medier på baggrund af en sikkerhedsadvisory fra Fortinets PSIRT.
I alt afhjælpes 40 sårbarheder, hvoraf to er vurderet som kritiske. Den mest alvorlige (CVE-2022-39952) har en score på 9,8 og findes i Fortinets løsning til kontrol af netværksadgang (FortiNAC). Den kan ved udnyttelse medføre afvikling af vilkårlig kode.
The Hacker News skriver, at en proof-of-concept udnyttelseskode forventes frigivet ’snart’, hvorfor brugere anbefales at installere opdateringerne.
Den anden kritiske sårbarhed findes i FortiWebs proxy-daemon. Udnyttelse af denne gør det muligt for en uautoriseret fjernangriber at gennemføre vilkårlig kodeudførelse via specifikt udformede HTTP-anmodninger. Denne sårbarhed har id’et CVE-2021-42756 og en CVSS-score på 9,3.
Mere information om de påvirkede produkter og versioner findes på Fortinets PSIRT-side.
Fortinet er en større udbyder sikkerhedsløsninger i produkterne FortiWeb, FortiOS, FortiNAC og FortiProxy.
Links:
https://thehackernews.com/2023/02/fortinet-issues-patches-for-40-flaws.html
https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-r...
https://www.fortiguard.com/psirt/FG-IR-21-186
https://securityaffairs.com/142399/security/fortinet-fixes-critical-vuln...