Ranjivosti u Fortinet proizvodima
Dana 11. travnja 2024. godine, tvrtka Fortinet je objavila više sigurnosnih upozorenja o ranjivostima visoke i kritične razine koje zahvaćaju FortiOS, FortiProxy, FortiClient za Mac i FortiClient za Linux. Preporučuje se žurno ažuriranje ranjivog softvera.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
Ranjivost CVE-2023-45590 (CVSS ocjena 9.4), nastaje zbog nepravilne kontrole generiranja kôda, što može omogućiti neovlaštenom napadaču izvršavanje proizvoljnog kôda kroz navođenje korisnika FortiClientLinuxa da posjete zlonamjernu web stranicu.
Ranjivosti CVE-2023-45588 i CVE-2024-31492 (oba s CVSS ocjenom 7.8), nastaju zbog ranjivosti vanjske kontrole imena datoteke ili putanje, čime mogu omogućiti lokalnom napadaču izvršavanje proizvoljnog kôda ili naredbi putem pisanja zlonamjerne konfiguracijske datoteke u /tmp direktoriju prije početka procesa instalacije.
Ranjivost CVE-2023-41677 (CVSS ocjena 7.5), nastaje zbog neadekvatno zaštićeni pristupnih podataka odnosno vjerodajnica. Zavaravajući administratora da posjeti zlonamjernu web stranicu kojom upravlja napadač putem SSL-VPN-a, ranjivost omogućava napadaču da dobije administratorsku sesiju točnije administratorsku sjednicu (engl. administrator cookie) u rijetkim i specifičnim uvjetima.
Zahvaćene su sljedeće verzije proizvoda:
CVE-2023-45590:
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
Ranjivost CVE-2023-45590 (CVSS ocjena 9.4), nastaje zbog nepravilne kontrole generiranja kôda, što može omogućiti neovlaštenom napadaču izvršavanje proizvoljnog kôda kroz navođenje korisnika FortiClientLinuxa da posjete zlonamjernu web stranicu.
Ranjivosti CVE-2023-45588 i CVE-2024-31492 (oba s CVSS ocjenom 7.8), nastaju zbog ranjivosti vanjske kontrole imena datoteke ili putanje, čime mogu omogućiti lokalnom napadaču izvršavanje proizvoljnog kôda ili naredbi putem pisanja zlonamjerne konfiguracijske datoteke u /tmp direktoriju prije početka procesa instalacije.
Ranjivost CVE-2023-41677 (CVSS ocjena 7.5), nastaje zbog neadekvatno zaštićeni pristupnih podataka odnosno vjerodajnica. Zavaravajući administratora da posjeti zlonamjernu web stranicu kojom upravlja napadač putem SSL-VPN-a, ranjivost omogućava napadaču da dobije administratorsku sesiju točnije administratorsku sjednicu (engl. administrator cookie) u rijetkim i specifičnim uvjetima.
Zahvaćene su sljedeće verzije proizvoda:
CVE-2023-45590:
- FortiClientLinux verzija 7.2.0;
- FortiClientLinux verzija 7.0.6 do 7.0.10;
- FortiClientLinux verzija 7.0.3 do 7.0.4.
CVE-2023-45588 i CVE-2024-31492:
- FortiClientMac verzija 7.2.0 do 7.2.3;
- FortiClientMac verzija 7.0.6 do 7.0.10.
CVE-2023-41677:
- FortiOS verzija 7.4.0 do 7.4.1;
- FortiOS verzija 7.2.0 do 7.2.6;
- FortiOS verzija 7.0.0 do 7.0.12;
- FortiOS verzija 6.4.0 do 6.4.14;
- FortiOS verzija 6.2.0 do 6.2.15;
- FortiOS verzija 6.0 sve verzije;
- FortiProxy verzija 7.4.0 do 7.4.1;
- FortiProxy verzija 7.2.0 do 7.2.7;
- FortiProxy verzija 7.0.0 do 7.0.13;
- FortiProxy 2.0 sve verzije;
- FortiProxy 1.2 sve verzije;
- FortiProxy 1.1 sve verzije;
- FortiProxy 1.0 sve verzije.
Preporuke:
Preporučuje se nadogradnja ranjivih Fortinet proizvoda na najnoviju dostupnu inačicu slijedeći službene upute proizvođača.
Više informacija moguće je pročitati na poveznicama u nastavku:
Preporučuje se nadogradnja ranjivih Fortinet proizvoda na najnoviju dostupnu inačicu slijedeći službene upute proizvođača.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.securityweek.com/fortinet-patches-critical-rce-vulnerability-in-forticlientlinux/
- https://www.fortiguard.com/psirt/FG-IR-23-087
- https://www.fortiguard.com/psirt/FG-IR-23-345
- https://www.fortiguard.com/psirt/FG-IR-23-493
- https://thehackernews.com/2024/04/fortinet-has-released-patches-to.html
[inicijalna objava: 12.4.2024 - 16:32]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima