Siber Güvenlik Çözümleri Şirketi Fortinet, Fortinac ve Fortiweb ürünleri için güvenlik güncellemeleri yayınladı ve kimlik doğrulanmamış saldırganların keyfi kod veya komut yürütme yapmasına izin verebilecek iki kritik-şiddetli güvenlik açıklarını ele aldı.
Fortinac'ı etkileyen ilk kusur, CVE-2022-39952 olarak izlenir ve 9.8 CVSS V3 skoruna sahiptir (kritik).
Fortinac, kuruluşların gerçek zamanlı ağ görünürlüğü kazanmalarına, güvenlik politikalarını uygulamasına ve tehditleri tespit etmesine ve azaltmasına yardımcı olan bir ağ erişim kontrol çözümüdür.
Güvenlik danışmanlığı, "Fortinac web sunucusunda dosya adı veya yol kırılganlığının harici bir kontrolü [CWE-73], kimlik doğrulanmamış bir saldırganın sistem üzerinde keyfi yazma yapmasına izin verebilir."
Bu kusurdan etkilenen ürünler:
CVE-2022-39952 Güvenlik Açığı Fortinac 9.4.1 ve sonraki, 9.2.6 ve sonraki, 9.1.8 ve üstü ve 7.2.0 ve üstünde sabitlenmiştir.
İkinci güvenlik açığı Fortiweb'i etkiler CVSS V3 skoru 9.3 (kritik) olan CVE-2021-42756'dır.
FortiWeb, web uygulamalarını ve API'ları siteler arası komut dosyalarından (XSS), SQL enjeksiyonundan, bot saldırılarından, DDO'lardan (dağıtılmış hizmet reddi) ve diğer çevrimiçi tehditlerden korumak için tasarlanmış bir Web Uygulaması Güvenlik Duvarı (WAF) çözümüdür.
Fortinet'in danışmanlığı, "Fortiweb'in proxy deemon'undaki çoklu yığın tabanlı tampon taşma güvenlik açıkları [CWE-121], kimlik doğrulanmamış bir uzaktan saldırganın özel olarak hazırlanmış HTTP istekleri yoluyla keyfi kod yürütülmesine izin verebilir."
CVE-2021-42756 Aşağıdaki sürümleri etkiler:
Kusura hitap etmek için yöneticiler Fortiweb 7.0.0 veya üstüne, 6.3.17 veya sonraki, 6.2.7 veya sonraki, 6.1.3 veya sonraki ve 6.0.8 veya üstüne yükseltilmelidir.
Garip bir şekilde, CVE kimliği güvenlik açığının 2021'de keşfedildiğini, ancak şimdiye kadar kamuya açıklanmadığını göstermektedir.
Satıcı, her iki kusur için de azaltma tavsiyesi veya geçici çözümler sağlamamıştır, bu nedenle mevcut güvenlik güncellemelerinin uygulanması riskleri ele almanın tek yoludur.
Auth0, 22.000 proje tarafından kullanılan JsonWebtoken Kütüphanesinde RCE kusurunu düzeltiyor
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Goanywhere Mft Zero-Day Güvenlik Açığı, bilgisayar korsanlarının ihlal sunucularına izin verir
GTA Online Hatası Yasak, Yolsuz Oyuncuların Hesapları
Kritik VMware Vrealize RCE Güvenlik Açığı
Kaynak: Bleeping Computer