Ranjivosti udaljenog izvršavanja koda (RCE) u Fortinet proizvodima

Dana 7. ožujka 2023. godine, Fortinet je objavio obavijest o jednoj kritičnoj ranjivosti u FortiOS-u i FortiProxy administratorskom sučelju. Ova ranjivost je identificirana kao CVE-2023-25610 (CVSS ocjena 9.3) i može omogućiti udaljenim neovlaštenim napadačima izvršavanje proizvoljnog koda na uređaju i/ili izvođenje DoS-a na grafičkom sučelju.
Proizvođač Fortinet nije upoznat s bilo kojim primjerom gdje se ova ranjivost javno iskorištava.
 
Tehnički detalji:
Ranjivost CVE-2023-25610 uzrokovana je propustom stoga (engl. heap buffer underflow) u administrativnom sučelju i može omogućiti neovlaštenom napadaču izvršavanje proizvoljnog koda na uređaju ili izvođenje uskraćivanja usluge (DoS) na grafičkom sučelju putem posebno oblikovanih zahtjeva.
 
Zahvaćeni proizvodi:

• FortiOS version 7.2.0 - 7.2.3
• FortiOS version 7.0.0 - 7.0.9
• FortiOS version 6.4.0 - 6.4.11
• FortiOS version 6.2.0 - 6.2.12
• FortiOS 6.0 sve verzije
• FortiProxy version 7.2.0 - 7.2.2
• FortiProxy version 7.0.0 - 7.0.8
• FortiProxy version 2.0.0 - 2.0.11
• FortiProxy 1.2 sve verzije
• FortiProxy 1.1 sve verzije

Preporuke:
Ažuriranje FortiOS i FortiProxy proizvoda na verzije:

• FortiOS version 7.4.0 ili viša
• FortiOS version 7.2.4 ili viša
• FortiOS version 7.0.10 ili viša
• FortiOS version 6.4.12 ili viša
• FortiOS version 6.2.13 ili viša
• FortiProxy version 7.2.3 ili viša
• FortiProxy version 7.0.9 ili viša
• FortiProxy version 2.0.12 ili viša
• FortiOS-6K7K version 7.0.10 ili viša
• FortiOS-6K7K version 6.4.12 ili viša
• FortiOS-6K7K version 6.2.13 ili viša

 
Više informacija moguće je pročitati na poveznicama u nastavku:

1. https://www.fortiguard.com/psirt/FG-IR-23-001
2. https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-unauthenticated-rce-vulnerability/