Siber güvenlik çözümleri şirketi Fortinet, FortiNAC ve FortiWeb ürünleri için, kimliği doğrulanmamış saldırganların rasgele kod veya komut yürütme gerçekleştirmesine izin verebilecek kritik önemdeki iki güvenlik açığını gideren güvenlik güncellemeleri yayınladı.
FortiNAC’ı etkileyen ilk kusur, CVE-2022-39952 olarak izlenir ve CVSS v3 puanı 9,8’dir (kritik).
FortiNAC, kuruluşların gerçek zamanlı ağ görünürlüğü kazanmasına, güvenlik ilkelerini uygulamasına ve tehditleri tespit edip azaltmasına yardımcı olan bir ağ erişim kontrolü çözümüdür.
“Dosya adı veya yol güvenlik açığının harici kontrolü [CWE-73] FortiNAC web sunucusunda, kimliği doğrulanmamış bir saldırganın sistemde rasgele yazma yapmasına izin verebilir”, güvenlik danışma belgesini okur.
Bu kusurdan etkilenen ürünler şunlardır:
- FortiNAC sürüm 9.4.0
- FortiNAC sürüm 9.2.0 ila 9.2.5
- FortiNAC sürüm 9.1.0 ila 9.1.7
- FortiNAC 8.8 tüm sürümler
- FortiNAC 8.7 tüm sürümler
- FortiNAC 8.6 tüm sürümler
- FortiNAC 8.5 tüm sürümler
- FortiNAC 8.3 tüm sürümleri
CVE-2022-39952 güvenlik açığı FortiNAC 9.4.1 ve üzeri, 9.2.6 ve üzeri, 9.1.8 ve üzeri ve 7.2.0 ve üzeri sürümlerde düzeltilmiştir.
FortiWeb’i etkileyen ikinci güvenlik açığı, CVSS v3 puanı 9,3 (kritik) olan CVE-2021-42756’dır.
FortiWeb, web uygulamalarını ve API’yi siteler arası komut dosyası çalıştırma (XSS), SQL enjeksiyonu, bot saldırıları, DDoS (dağıtılmış hizmet reddi) ve diğer çevrimiçi tehditlerden korumak için tasarlanmış bir web uygulaması güvenlik duvarı (WAF) çözümüdür.
“Birden çok yığın tabanlı arabellek taşması güvenlik açıkları [CWE-121] FortiWeb’in proxy arka plan programı, kimliği doğrulanmamış bir uzak saldırganın özel olarak hazırlanmış HTTP istekleri aracılığıyla rastgele kod yürütmesine izin verebilir” şeklinde açıklıyor Fortinet’in danışma belgesi.
CVE-2021-42756, aşağıdaki sürümleri etkiler:
- FortiWeb sürümleri 5.x tüm sürümler
- FortiWeb sürümleri 6.0.7 ve altı
- FortiWeb sürümleri 6.1.2 ve altı
- FortiWeb sürümleri 6.2.6 ve altı
- FortiWeb sürümleri 6.3.16 ve altı
- FortiWeb sürümleri 6.4 tüm sürümler
Kusuru gidermek için yöneticilerin FortiWeb 7.0.0 veya sonraki sürümlerine, 6.3.17 veya sonraki sürümlerine, 6.2.7 veya sonraki sürümlerine, 6.1.3 veya sonraki sürümlerine ve 6.0.8 veya sonraki sürümlerine yükseltmeleri gerekir.
Garip bir şekilde CVE Kimliği, güvenlik açığının 2021’de keşfedildiğini ancak şimdiye kadar kamuya açıklanmadığını gösteriyor.
Satıcı, kusurların hiçbiri için hafifletme önerileri veya geçici çözümler sağlamamıştır, bu nedenle mevcut güvenlik güncellemelerini uygulamak, riskleri ele almanın tek yoludur.