Tilkynnt var um nokkra alvarlega veikleika í FortiADC, FortiOS og FortiProxy hjá Fortinet. Alls níu veikleikar, þar af tveir mjög alvarlegir [1].. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður. Alvarlegir veikleikar (e. critical)
FortiADC
Veikleikinn CVE-2023-27999 með CVSSv3 skor uppá 7.8 gerir auðkenndum ógnaraðila kleift að keyra óheimilar skipanir [2].
FortiOS og FortiProxy
Veikleikinn CVE-2023-22640 með CVSSv3 skor uppá 7.5 gerir ógnaraðila kleift að senda sérhannaðar skipanir á FortiOS eða FortiProxy og keyra upp kóða sem getur leitt að sér innbrot [3].
Eftirfarandi kerfi eru veik fyrir gallanum:
FortiADC 7.2.0, 7.1.1 og 7.1.0
FortiOS 7.2.x, 7.0.x, 6.4.x 6.2.x og 6.0.x
FortiProxy 7.2.x, 7.0.x, 2.0.x og 1.x.x
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
FortiADC 7.2.1 og 7.1.2
FortiOS 7.4.0, 7.2.4, 7.0.11, 6.4.12 og 6.2.14
FortiProxy 7.2.2 og 7.0.8
Tilvísanir:
[1] https://www.securityweek.com/fortinet-patches-high-severity-vulnerabilities-in-fortiadc-fortios/
[2] https://www.fortiguard.com/psirt/FG-IR-22-297:
[3] https://www.fortiguard.com/psirt/FG-IR-22-475