Dana 11. srpnja 2023., Fortinet je objavio obavijest o kritičnoj ranjivosti u FortiOS i FortiProxy sustavima koja omogućuje udaljenim napadačima izvršavanje proizvoljnog koda ili naredbi putem specifično sastavljenih paketa. Ova ranjivost identificirana je kao CVE-2023-33308 s CVSS ocjenom 9.8.

Zbog razine pristupa i kontrole na mreži koja se ostvaruje iskorištavanjem ranjivosti, preporučuje se žurno ažuriranje.
 

Tehnički detalji ključnih ranjivosti popravljenih ovim ažuriranjem:

Navedena ranjivost rezultat je ranjivosti prelijevanja stoga (stack-based overflow) u FortiOS i FortiProxy sustavima. Udaljeni napadač može slati specifično sastavljene pakete koji prolaze proxy politike ili politike vatrozida s proxy načinom rada zajedno s SSL inspekcijom paketa kako bi izvršio proizvoljni kod ili naredbe.
 

Zahvaćeni proizvodi: 

 

Preporuke:

Savjetuje se žurno ažuriranje zahvaćenih proizvoda FortiOS-a i FortiProxy-ja na najnovije dostupne verzije.

Alternativno rješenje:

Onemogućiti podršku za HTTP/2 na SSL inspekcijskim profilima koji se koriste u proxy politikama ili politikama vatrozida s proxy načinom rada.

 

Više informacija moguće je pročitati na poveznicama u nastavku: