Fortinet 發布多個產品的安全公告

風險等級: 高度威脅
摘 要: 弱點通告:
Fortinet 發布多個產品的安全公告,建議請管理者儘速評估更新!
影響系統:
  • FortiPresence 1.2 all versions
  • FortiPresence 1.1 all versions
  • FortiPresence 1.0 all versions
  • FortiDeceptor 4.1.0
  • FortiDeceptor 4.0.0 到 4.0.2
  • FortiDeceptor 3.3.0 到 3.3.3
  • FortiDeceptor 3.2 all versions
  • FortiDeceptor 3.1 all versions
  • FortiDeceptor 3.0 all versions
  • FortiDeceptor 2.1 all versions
  • FortiDeceptor 2.0 all versions
  • FortiDeceptor 1.1 all versions
  • FortiDeceptor 1.0 all versions
  • FortiSandbox 4.2.0 到 4.2.2
  • FortiSandbox 4.0.0 到 4.0.2
  • FortiSandbox 3.2.0 到 3.2.3
  • FortiSandbox 3.1 all versions
  • FortiSandbox 3.0 all versions
  • FortiSandbox 2.5 all versions
  • FortiProxy 7.2.0 到 7.2.1
  • FortiProxy 7.0.0 到 7.0.7
  • FortiOS 7.2.0 到 7.2.3
  • FortiOS 7.0.0 到 7.0.9
  • FortiOS 6.4.0 到 6.4.11
  • FortiOS 6.2.0 到 6.2.12
解決辦法: 請參考 Fortinet官方網站的說明並更新至建議版本:
(1) FortiPresence 2.0.0 (含)之後版本
(2) FortiDeceptor 4.2.0 (含)之後版本
(2) FortiDeceptor 4.1.1 (含)之後版本
(2) FortiDeceptor 4.0.2 (含)之後版本
(2) FortiDeceptor 3.3.3 (含)之後版本
(2) FortiSandbox 4.2.3 (含)之後版本
(2) FortiSandbox 4.0.3 (含)之後版本
(2) FortiSandbox 3.2.4 (含)之後版本
(2) FortiProxy 7.2.2 (含)之後版本
(2) FortiProxy 7.0.8 (含)之後版本
(2) FortiOS 7.2.4 (含)之後版本
(2) FortiOS 7.0.10 (含)之後版本
(2) FortiOS 6.4.12 (含)之後版本
(2) FortiOS 6.2.13 (含)之後版本
細節描述: Fortinet近日發布更新,以解決多個產品的安全性弱點。

(1) FortiPresence 本地基礎設施伺服器中缺少關鍵功能弱點 [CWE-306]的身份驗證,可能允許未經身份驗證的遠端攻擊者通過精心設計的身份驗證請求訪問 Redis 和 MongoDB 實例。
(2) FortiSandbox 和 FortiDeceptor 中的不當權限管理弱點[CWE-269]可能允許經過身份驗證的遠端攻擊者通過精心設計的 HTTP 或 HTTPS 請求執行未經授權的 API 呼叫。
(3) FortiOS 和 FortiProxy 管理界面中的網頁生成(“跨站點腳本”)弱點 [CWE-79]期間輸入的多個不當無效化可能允許未經身份驗證的攻擊者通過精心設計的 HTTP 或 HTTPS GET 請求執行 XSS 攻擊。

尚有其他弱點請參考官網說明

參考資訊: US-cert
Fortinet(FG-IR-22-355)
Fortinet(FG-IR-22-056)
Fortinet(FG-IR-22-363)