Fortinet udsender rettelser

Kritiske fejl i FortiNAC og FortiWeb.

Fortinet har udsendt patches til håndtering af 40 fejl, der påvirker flere produkter i Fortinets softwareprogram.

Det skriver The Hacker News og en række andre medier på baggrund af en sikkerhedsadvisory fra Fortinets PSIRT.

I alt afhjælpes 40 sårbarheder, hvoraf to er vurderet som kritiske. Den mest alvorlige (CVE-2022-39952) har en score på 9,8 og findes i Fortinets løsning til kontrol af netværksadgang (FortiNAC). Den kan ved udnyttelse medføre afvikling af vilkårlig kode.

The Hacker News skriver, at en proof-of-concept udnyttelseskode forventes frigivet ’snart’, hvorfor brugere anbefales at installere opdateringerne.

Den anden kritiske sårbarhed findes i FortiWebs proxy-daemon. Udnyttelse af denne gør det muligt for en uautoriseret fjernangriber at gennemføre vilkårlig kodeudførelse via specifikt udformede HTTP-anmodninger. Denne sårbarhed har id’et CVE-2021-42756 og en CVSS-score på 9,3.

Mere information om de påvirkede produkter og versioner findes på Fortinets PSIRT-side.

Fortinet er en større udbyder sikkerhedsløsninger i produkterne FortiWeb, FortiOS, FortiNAC og FortiProxy.

Links:

https://thehackernews.com/2023/02/fortinet-issues-patches-for-40-flaws.html
https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-r...
https://www.fortiguard.com/psirt/FG-IR-21-186
https://securityaffairs.com/142399/security/fortinet-fixes-critical-vuln...