เมนู

Fortinet เผยแพร่การอัปเดตด้านความปลอดภัยสําหรับ FortiOS

16 ตุลาคม 2566 | กนิษฐา พุ่มผล

Fortinet ได้มีการประกาศเผยแพร่การอัปเดตด้านความปลอดภัยสําหรับ FortiOS โดยเวอร์ชั่นนี้ ออกมาเพื่อแก้ไขช่องโหว่ที่อาจส่งผลให้ผู้โจมตีสามารถโจมตีช่องโหว่ของผลิตภัณฑ์ที่ใช้ FortiOS เวอร์ชั่นที่ได้รับผลกระทบ อาจทำให้เกิดการเข้าถึงและควบคุมที่ไม่เหมาะสม และการเปิดเผยข้อมูล นำไปสู่การได้รับสิทธิ์ระดับเดียวกับ service account ที่ถูกโจมตี ในขณะนั้น และอาจส่งผลให้ผู้โจมตีสามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีผู้ใช้งานใหม่ พร้อมกับกําหนดสิทธิ์ผู้ใช้งานเต็มรูปแบบ (full user rights) ทั้งนี้ขึ้นอยู่กับสิทธิ์ที่ผู้โจมตีได้รับหลังจากโจมตีสําเร็จ

FortiOS เวอร์ชันนี้ ได้ออกมาเพื่อแก้ไขช่องโหว่ ดังนี้

ช่องโหว่ CVE-2023-33301 (6.5) เป็นช่องโหว่การควบคุมการเข้าถึงที่ไม่เหมาะสมในคอมโพเนนต์ FortiOS RESTAPI อาจอนุญาตให้ผู้โจมตีที่ได้รับการรับรองความถูกต้องเข้าถึงทรัพยากรที่ถูกจํากัดจากโฮสต์ที่ไม่น่าเชื่อถือ
ผลิตภัณฑ์ที่ได้รับผลกระทบ:

  • FortiOS เวอร์ชัน 4.0
  • FortiOS เวอร์ชัน 2.0 ถึง 7.2.4

คำแนะนำ:

  • อัปเดตเป็น FortiOS 7.4.1 หรือใหม่กว่า
  • อัปเดตเป็น FortiOS 7.2.5 หรือใหม่กว่า

ช่องโหว่ CVE-2023-37935 (6.5) เป็นช่องโหว่การใช้วิธีการขอ GET ที่มีช่องโหว่ sensitive query strings ใน Fortinet เวอร์ชั่นที่ได้รับผลกระทบ ช่วยให้ผู้โจมตีสามารถดูรหัสผ่านข้อความ plaintext จาก remote services เช่น RDP หรือ VNC หากผู้โจมตีสามารถอ่านคําขอ GET ไปยังบริการเหล่านั้นได้
ผลิตภัณฑ์ที่ได้รับผลกระทบ:

  • FortiOS เวอร์ชัน 4.0 FortiOS เวอร์ชัน 7.2.0 ถึง 7.2.5
  • FortiOS เวอร์ชัน 0.0 ถึง 7.0.12

คำแนะนำ:

  • อัปเดตเป็น FortiOS 4.1 หรือใหม่กว่า
  • อัปเดตเป็น FortiOS 2.6 หรือใหม่กว่า
  • ติดตามการอัปเดตเป็น FortiOS 0.13 (กำลังประกาศอัปเดต)

องค์กรที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้ดําเนินการอัปเดต ซอฟต์แวร์จากบริษัทเจ้าของผลิตภัณฑ์ (Fortinet) ทันที | PSIRT Advisories [1] [2]