เมนู

Fortinet ออกแพตช์ใหม่ แก้ไขช่องโหว่กว่า 40 รายการ
ใน FortiWeb, FortiOS, FortiNAC และ FortiProxy

2023-02-Fortinetweb

21 กุมภาพันธ์ 2566

Fortinet ได้ออกแพตช์อัปเดตความปลอดภัยใหม่ เพื่อแก้ไขช่องโหว่กว่า 40 รายการ ในกลุ่มซอฟต์แวร์ ได้แก่ FortiWeb, FortiOS, FortiNAC และ FortiProxy เป็นต้น

จากช่องโหว่ทั้งหมด 40 รายการได้ถูกแบ่งประเภทความรุนแรงไว้ดังนี้

  • ระดับ Critical       2   รายการ
  • ระดับ High         15   รายการ
  • ระดับ Medium    22   รายการ
  • ระดับ Low           1   รายการ

โดยช่องโหว่แรกที่มีความรุนแรงระดับ Critical จะอยู่ในโซลูชันการควบคุมการเข้าถึงเครือข่ายของ FortiNAC ที่ถูกติดตามเป็นหมายเลข CVE-2022-39952 (CVSS: 9.8) ซึ่งอาจนำไปสู่การเรียกใช้ code execution ได้

ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่มีดังนี้

  • FortiNAC เวอร์ชัน 4.0
  • FortiNAC เวอร์ชัน 2.0 ถึง 9.2.5
  • FortiNAC เวอร์ชัน 1.0 ถึง 9.1.7
  • FortiNAC 8.8 ทุกรุ่น
  • FortiNAC 8.7 ทุกรุ่น
  • FortiNAC 8.6 ทุกรุ่น
  • FortiNAC 8.5 ทุกรุ่น
  • FortiNAC 8.3 ทุกรุ่น

สำหรับช่องโหว่ CVE-2022-39952 ใน FortiNAC ที่ได้รับการแก้ไขแล้ว ได้แก่ เวอร์ชัน 9.4.1, 9.2.6, 9.1.8 และ 7.2.0

ในส่วนของรายการช่องโหว่ที่สองมีความรุนแรงระดับ Critical คือ stack-based buffer overflow ใน proxy daemon ของ FortiWeb ที่ถูกติดตามเป็นหมายเลข CVE-2021-42756 (CVSS: 9.3) ส่งผลกระทบทำให้ผู้โจมตี สามารถเข้าใช้งานได้จากระยะไกล โดยไม่ผ่านการตรวจสอบสิทธิ์ และสามารถเรียกใช้งานรหัส code ต่างๆ ที่เป็นอันตรายผ่านคำขอ HTTP requests ที่ถูกสร้างขึ้นมาโดยเฉพาะ

ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่มีดังนี้

  • FortiWeb เวอร์ชัน 4 ทุกเวอร์ชัน
  • FortiWeb เวอร์ชัน 3.16 และต่ำกว่า
  • FortiWeb เวอร์ชัน 2.6 และต่ำกว่า
  • FortiWeb เวอร์ชัน 1.2 และต่ำกว่า
  • FortiWeb เวอร์ชัน 0.7 และต่ำกว่า
  • FortiWeb เวอร์ชัน x ทุกเวอร์ชัน

สำหรับช่องโหว่ CVE-2021-42756 ใน FortiWeb ที่ได้รับการแก้ไขแล้ว ได้แก่ เวอร์ชัน 6.0.8, 6.1.3, 6.2.7, 6.3.17 และ 7.0.0

ท้ายที่สุดช่องโหว่ทั้ง 2 รายการได้ถูกค้นพบ โดยทีมรักษาความปลอดภัยของผลิตภัณฑ์ Fortinet แต่ความน่าสนใจจะอยู่ที่ช่องโหว่ CVE-2021-42756 ที่ถูกค้นพบตั้งแต่ปี 2564 แต่ยังไม่ได้มีการเปิดเผยหรือแจ้งให้ผู้ใช้งานทราบจนถึงขณะนี้

อ้างอิง: thehacknews.com

#ข่าวไซเบอร์ #ภัยคุกคาม #ช่องโหว่ #Fortinet #CVE #FortiGate  #FortiOS #FortiWeb #FortiNAC #FortiProxy #CVE-2022-39952 #CVE2021-42756

#Fortinet Issues Patches for 40 Flaws Affecting FortiWeb, FortiOS, FortiNAC, and FortiProxy