Tilkynnt var um alvarlegan veikleika í FortiOS og FortiProxy hjá Fortinet. Veikleikinn gerir ógnaraðila kleift að keyra kóða eða skipanir sem kerfisstjóri á búnaði með því að senda sérhannaða pakka. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
CVE-2023-33308
Veikleikinn CVE-2023-33308 með CVSSv3 einkunn uppá 9.8 gerir ógnaraðila kleift að keyra kóða eða skipanir sem kerfisstjóri á búnaði.
Veikleikinn á sér stað þegar sent er sérhannaða pakka sem ná til vefselar (e. proxy) stefna (e. policies) eða eldveggja stefna sem hafa vefselar ham (e. proxy mode) ásamt SSL djúppakka skoðun (e. deep packet inspection). Hægt er að grípa til mótvægis aðgerða sem sjá má nánar í [1] ef ekki er hægt að uppfæra strax [1,2,3].
Eftirfarandi kerfi er veikt fyrir gallanum:
FortiOS: 7.2.0 til og með 7.2.3 og 7.0.0 til og með 7.0.10
FortiProxy: 7.2.0 til og með 7.2.2 og 7.0.0 til og með 7.0.9
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
FortiOS: 7.4.0 eða nýrri, 7.2.4 eða nýrri og 7.0.11 eða nýrri
FortiProxy: 7.2.3 eða nýrri og 7.0.10 eða nýrri
Tilvísanir:
[1] https://www.fortiguard.com/psirt/FG-IR-23-183
[2] https://www.securityweek.com/fortinet-patches-critical-fortios-vulnerability-leading-to-remote-code-execution/
[3] https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaw-in-fortios-fortiproxy-devices/