Kritická zraniteľnosť FortiNAC má exploit, FortiWeb možno onedlho

novinky

Spoločnosť Fortinet opravila 2 kritické zraniteľnosti vo svojich produktoch FortiNAC a FortiWeb, ktoré umožňujú vzdialene vykonávať kód. Pre jednu z nich bol publikovaný kód pre jej zneužitie. Spoločnosť odporúča bezodkladne aktualizovať zraniteľné zariadenia. Okrem toho tento mesiac opravila vo svojich produktoch ďalších 15 vysoko závažných zraniteľností.

Zraniteľné systémy:

  • FortiNAC verzia 9.4.0
  • FortiNAC verzie 9.2.0 až 9.2.5
  • FortiNAC verzie 9.1.0 až 9.1.7
  • FortiNAC 8.8 všetky verzie
  • FortiNAC 8.7 všetky verzie
  • FortiNAC 8.6 všetky verzie
  • FortiNAC 8.5 všetky verzie
  • FortiNAC 8.3 všetky verzie
  • FortiWeb verzie 5.x všetky verzie
  • FortiWeb verzie 6.0.7 a staršie
  • FortiWeb verzie 6.1.2 a staršie
  • FortiWeb verzie 6.2.6 a staršie
  • FortiWeb verzie 6.3.16 a staršie
  • FortiWeb verzie 6.4 všetky verzie

Opis činnosti:

Spoločnosť Fortinet vydala opravy dvoch kritických zraniteľností. Pre prvú z nich publikovali výskumníci zo spoločnosti Horizon3.ai kód pre jej zneužitie.

CVE-2023-39952 (CVSS 9,8)

Kritická zraniteľnosť vo webovom serveri FortiNAC súvisí s možnosťou používateľa kontrolovať cestu k súborom interakciou s koncovým bodom keyUpload.jsp. To umožňuje neautentifikovanému útočníkovi zapisovať či prepisovať ľubovoľné súbory do systému a tak vzdialene vykonávať kód. Zraniteľnosť objavil Gwendal Guégniaud z tímu Fortinet PSIRT.

CVE-2021-42756 (CVSS 9,3)

Kritická zraniteľnosť v procese proxyd vo FortiWeb združuje viacero chýb vedúcich ku pretečeniu medzipamäte na zásobníku. To umožňuje neautentifikovanému útočníkovi vzdialene vykonávať kód pomocou špeciálnych HTTP požiadaviek. Zraniteľnosť objavil Giuseppe Cocomazzi z tímu Fortinet PSIRT.

Spoločnosť Fortinet vydala vo februári dohromady opravy 40 zraniteľností svojich produktov FortiWeb, FortiOS, FortiNAC, FortiProxy a ďalších. Okrem 2 vyššie spomínaných kritických je 15 z nich hodnotených ako vysoko závažné.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie:  

  • FortiNAC 9.4.1
  • FortiNAC 9.2.6
  • FortiNAC 9.1.8
  • FortiNAC 7.2.0
  • FortiWeb 7.0.0
  • FortiWeb 6.3.17
  • FortiWeb 6.2.
  • FortiWeb 6.1.
  • FortiWeb 6.0.8

Pre overenie kompromitácie skontrolujte logy v /bsc/logs/output.master pre prítomnosť Running configApplianceXml (ak logy útočník nevymazal).

Odkazy:

https://www.fortiguard.com/psirt/FG-IR-22-300

https://www.fortiguard.com/psirt/FG-IR-21-186

https://www.horizon3.ai/fortinet-fortinac-cve-2022-39952-deep-dive-and-iocs/

https://www.fortiguard.com/psirt-monthly-advisory/february-2023-vulnerability-advisories

https://thehackernews.com/2023/02/fortinet-issues-patches-for-40-flaws.html

https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-fortinet-rce-flaws-patch-now/

Zdroj: csirt.gov.sk