Fortinet ออกแพตช์ใหม่ แก้ไขช่องโหว่กว่า 40 รายการ
ใน FortiWeb, FortiOS, FortiNAC และ FortiProxy
21 กุมภาพันธ์ 2566
Fortinet ได้ออกแพตช์อัปเดตความปลอดภัยใหม่ เพื่อแก้ไขช่องโหว่กว่า 40 รายการ ในกลุ่มซอฟต์แวร์ ได้แก่ FortiWeb, FortiOS, FortiNAC และ FortiProxy เป็นต้น
จากช่องโหว่ทั้งหมด 40 รายการได้ถูกแบ่งประเภทความรุนแรงไว้ดังนี้
โดยช่องโหว่แรกที่มีความรุนแรงระดับ Critical จะอยู่ในโซลูชันการควบคุมการเข้าถึงเครือข่ายของ FortiNAC ที่ถูกติดตามเป็นหมายเลข CVE-2022-39952 (CVSS: 9.8) ซึ่งอาจนำไปสู่การเรียกใช้ code execution ได้
ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่มีดังนี้
สำหรับช่องโหว่ CVE-2022-39952 ใน FortiNAC ที่ได้รับการแก้ไขแล้ว ได้แก่ เวอร์ชัน 9.4.1, 9.2.6, 9.1.8 และ 7.2.0
ในส่วนของรายการช่องโหว่ที่สองมีความรุนแรงระดับ Critical คือ stack-based buffer overflow ใน proxy daemon ของ FortiWeb ที่ถูกติดตามเป็นหมายเลข CVE-2021-42756 (CVSS: 9.3) ส่งผลกระทบทำให้ผู้โจมตี สามารถเข้าใช้งานได้จากระยะไกล โดยไม่ผ่านการตรวจสอบสิทธิ์ และสามารถเรียกใช้งานรหัส code ต่างๆ ที่เป็นอันตรายผ่านคำขอ HTTP requests ที่ถูกสร้างขึ้นมาโดยเฉพาะ
ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่มีดังนี้
สำหรับช่องโหว่ CVE-2021-42756 ใน FortiWeb ที่ได้รับการแก้ไขแล้ว ได้แก่ เวอร์ชัน 6.0.8, 6.1.3, 6.2.7, 6.3.17 และ 7.0.0
ท้ายที่สุดช่องโหว่ทั้ง 2 รายการได้ถูกค้นพบ โดยทีมรักษาความปลอดภัยของผลิตภัณฑ์ Fortinet แต่ความน่าสนใจจะอยู่ที่ช่องโหว่ CVE-2021-42756 ที่ถูกค้นพบตั้งแต่ปี 2564 แต่ยังไม่ได้มีการเปิดเผยหรือแจ้งให้ผู้ใช้งานทราบจนถึงขณะนี้
#ข่าวไซเบอร์ #ภัยคุกคาม #ช่องโหว่ #Fortinet #CVE #FortiGate #FortiOS #FortiWeb #FortiNAC #FortiProxy #CVE-2022-39952 #CVE2021-42756
#Fortinet Issues Patches for 40 Flaws Affecting FortiWeb, FortiOS, FortiNAC, and FortiProxy
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา