เมนู

Fortinet และ Zoho
เตือนช่องโหว่ใหม่ที่เกิดขึ้น

2023-01-Fortinet & ZOHO

CVE-2022-39947 (CVSS: 8.6) Fortinet ส่งผลกระทบ FortiADC (Application Delivery Controller)
(CVE-2022-47523) ZOHO ส่งผลกระทบ Access Manager Plus, PAM360 และ Password xManager Pro

10 มกราคม 2566

Fortinet ออกมาเตือนถึงช่องโหว่ใหม่ที่ส่งผลกระทบต่อ FortiADC (Application Delivery Controller) ช่วยให้ผู้โจมตีสามารถเข้าถึงหน้าเว็บ GUI และสามารถรันโค้ด หรือคำสั่งต่างๆ ได้โดยไม่ได้รับอนุญาตผ่านทาง HTTP requests ที่ถูกสร้างขึ้นมาเฉพาะ และสามารถใช้งานได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

ช่องโหว่ CVE-2022-39947 (CVSS: 8.6) ส่งผลกระทบต่ออุปกรณ์เวอร์ชันดังต่อไปนี้

  • FortiADC เวอร์ชัน 7.0.0 ถึง 7.0.2
  • FortiADC เวอร์ชัน 6.2.0 ถึง 6.2.3
  • FortiADC เวอร์ชัน 6.1.0 ถึง 6.1.6
  • FortiADC เวอร์ชัน 6.0.0 ถึง 6.0.4
  • FortiADC เวอร์ชัน 5.4.0 ถึง 5.4.5

แนะนำผู้ใช้งานอัปเกรด FortiADC ให้เป็นเวอร์ชัน 6.2.4 และ 7.0.2 โดยทันที

ในส่วนของแพตช์ช่วงเดือน มกราคม 2566 ยังได้ระบุถึงช่องโหว่ใน FortiTester (CVE-2022-35845, CVSS: 7.6) อนุญาตให้ผู้โจมตีที่ได้รับการตรวจสอบแล้ว สามารถดำเนินการรันคำสั่งต่างๆ ได้

ในส่วนของ Zoho ManageEngine

ได้ออกมาแนะนำให้ผู้ใช้งานอัปเกรด Access Manager Plus, PAM360 และ Password Manager Pro เป็นเวอร์ชันล่าสุด หลังจากพบช่องโหว่ใหม่ใน SQL Injection ที่ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลได้

ช่องโหว่ CVE-2022-47523 ส่งผลกระทบต่ออุปกรณ์เวอร์ชันดังต่อไปนี้

  • ManageEngine Access Manager Plus เวอร์ชัน 4308 หรือต่ำกว่า
  • ManageEngine PAM360 เวอร์ชัน 5800 หรือต่ำกว่า
  • ManageEngine Password Manager Pro เวอร์ชัน 12200 หรือต่ำกว่า

สำหรับข้อมูลที่ได้รับผลกระทบจากช่องโหว่นี้ ยังไม่ได้รับการเปิดเผย แต่ทาง Zoho ManageEngine เองได้แนะนำให้ผู้ใช้งานทำการอัปเกรดเวอร์ชันที่มีปัญหารวมถึงเพิ่มการตรวจสอบเพิ่มเติม เพื่อเป็นการปิดช่องโหว่ที่เกิดขึ้น

อ้างอิง: Thehackernews

#ข่าวไซเบอร์ #ภัยคุกคาม #Fortinet #Zoho #FortiADC #CVE-2022-39947 #CVE-2022-35845
#CVE-2022-47523 #ManageEngine #AccessManagerPlus #PAM360 #PasswordManagerPro
#SQLInjection #ZohoManageEngine #HTTPrequests #ApplicationDeliveryController

Fortinet and Zoho Urge Customers to Patch Enterprise Software Vulnerabilities