Albisteak

Fortineteko produktuen ahultasunak

Argitalpen-data: 

Laburpen exekutiboa

Fortinet-en hainbat produktutan hiru ahultasun garrantzitsu identifikatu dira, bakoitzak larritasin maila ezberdina duenak. Kritikoena, autentifikatu gabeko erasotzaile bati FortiSwitch-en GUIan administratzaileen pasahitzak aldatzea ahalbidetzen dio, berehalako mehatxua aurkezten duena eta ekintza urgentea behar duena. Bigarren kalteberatasuna, garrantzi handikoa, autentifikatu gabeko erasotzaile bati Fortinet produktuen bertsio anitzetan autentifikazioa tartekatu eta suplantatzea ahalbidetzen dio, "erdiko gizon" motako erasoa egiteko aukera irekitzen duena. Azkenik, hirugarren kalteberatasuna, baxu mailako garrantziarekin, Fortinet produktuen beste bertsio batzuetan antzeko arazoa aurkezten du. Kalteberatasun guzti hauek arreta eta mitigazioa behar dute eragindako sistemak babesteko.

Eragindako baliabideak

  • FortiAnalyzer (7.4.0 - 7.4.2, 7.2.0 - 7.2.4, 7.0.0 - 7.0.11, 6.4.0 - 6.4.14, 6.2.0 - 6.2.13 bertsioak)
  • FortiManager (7.4.0 - 7.4.2, 7.2.0 - 7.2.4, 7.0.0 - 7.0.11, 6.4.0 - 6.4.14, 6.2.0 - 6.2.13 bertsioak)
  • FortiOS (7.4.0 - 7.4.4, 7.2.0 - 7.2.8, 7.0.0 - 7.0.15, 6.4 guztiak bertsioak, 6.2.0 - 6.2.16 bertsioak)
  • FortiProxy (7.4.0 - 7.4.2, 7.2.0 - 7.2.9, 7.0.0 - 7.0.15, 2.0 guztiak bertsioak)
  • FortiVoice (7.0.0 - 7.0.2, 6.4.0 - 6.4.8, 6.0 guztiak bertsioak)
  • FortiWeb (7.4.0 - 7.4.2, 7.2 guztiak bertsioak, 7.0 guztiak bertsioak)
  • FortiSwitch (7.6.0, 7.4.0 - 7.4.4, 7.2.0 - 7.2.8, 7.0.0 - 7.0.10, 6.4.0 - 6.4.14 bertsioak)

Azterketa teknikoa

  • CVE-2024-48887: Fortinet FortiSwitch-en Erabiltzaile Interfaze Grafikoan (GUI) pasahitza aldatzeko kalteberatasuna egiaztatu gabea, autentifikatu gabeko erasotzaile batek administratzaileen pasahitzak aldatzeko aukera ematen duen eskaera bereziki diseinatu baten bidez.
    • CWE-620
    • CVSS: 9.8
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2024-26013: Komunikazio kanalaren murrizketa ezegoki bat [CWE-923] Fortinet FortiOS 7.4.0 bertsioatik 7.4.4, 7.2.0 bertsioatik 7.2.8, 7.0.0 bertsioatik 7.0.15, 6.4.0 bertsioatik 6.4.15 eta 6.2.16 bertsioa baino lehenago, Fortinet FortiProxy 7.4.0 bertsioatik 7.4.2, 7.2.0 bertsioatik 7.2.9 eta 7.0.15 bertsioa baino lehenago, Fortinet FortiManager 7.4.0 bertsioatik 7.4.2, 7.2.0 bertsioatik 7.2.4, 7.0.0 bertsioatik 7.0.11, 6.4.0 bertsioatik 6.4.14 eta 6.2.13 bertsioa baino lehenago, Fortinet FortiAnalyzer 7.4.0 bertsioatik 7.4.2, 7.2.0 bertsioatik 7.2.4, 7.0.0 bertsioatik 7.0.11, 6.4.0 bertsioatik 6.4.14 eta 6.2.13 bertsioa baino lehenago, Fortinet FortiVoice 7.0.0 bertsioatik 7.0.2 6.4.8 bertsioa baino lehenago eta Fortinet FortiWeb 7.4.2 bertsioa baino lehenago, autentifikatu gabeko erasotzaile bati "erdiko gizon" posizioan kudeaketa gailua (FortiCloud edo/eta zenbait baldintzetan, FortiManager) suplantatzea ahalbidetzen dio, kudeaketa gailua eta kudeatutako gailua arteko FGFM autentifikazio eskaera tartekatuz.
    • CWE-923
    • CVSS: 7.5
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2024-50565: Komunikazio kanalaren murrizketa okerra [CWE-923] Fortinet FortiOS 7.4.0 bertsioatik 7.4.3, 7.2.0 bertsioatik 7.2.7, 7.0.0 bertsioatik 7.0.14, 6.4.0 bertsioatik 6.4.15 eta 6.2.0 bertsioatik 6.2.16, Fortinet FortiProxy 7.4.0 bertsioatik 7.4.2, 7.2.0 bertsioatik 7.2.9, 7.0.0 bertsioatik 7.0.15 eta 2.0.0 bertsioatik 2.0.14, Fortinet FortiManager 7.4.0 bertsioatik 7.4.2, 7.2.0 bertsioatik 7.2.4, 7.0.0 bertsioatik 7.0.11, 6.4.0 bertsioatik 6.4.14 eta 6.2.0 bertsioatik 6.2.13, Fortinet FortiAnalyzer 7.4.0 bertsioatik 7.4.2, 7.2.0 bertsioatik 7.2.4, 7.0.0 bertsioatik 7.0.11, 6.4.0 bertsioatik 6.4.14 eta 6.2.0 bertsioatik 6.2.13, Fortinet FortiVoice 7.0.0 bertsioatik 7.0.2, 6.4.0 bertsioatik 6.4.8 eta 6.0.0 bertsioatik 6.0.12 eta Fortinet FortiWeb 7.4.0 bertsioatik 7.4.2, 7.2.0 bertsioatik 7.2.10, 7.0.0 bertsioatik 7.0.10, autentifikatu gabeko erasotzaile bati "erdiko gizon" posizioan kudeaketa gailua (FortiCloud edo/eta zenbait baldintzetan, FortiManager) suplantatzea ahalbidetzen dio, kudeaketa gailua eta kudeatutako gailua arteko FGFM autentifikazio eskaera tartekatuz.
    • CWE-300
    • CVSS: 3.1
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

Segurtasun arazoak arintzeko edo konpontzeko, fabrikatzaileak hainbat ekintza gomendatzen ditu. FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice eta FortiWeb-eko kalteberatasunak direla eta, testuan aipatutako bertsioetara eguneratu beharko litzateke, esaterako, FortiAnalyzer 7.4.0 bertsioa 7.4.2 bertsioa 7.4.3 edo goiagoko bertsiora eguneratu. Zenbait kasutan, gomendioa bertsio zuzendu batera migratzea da. https://docs.fortinet.com/upgrade-tool webgunean dagoen tresna erabiliz eguneraketa bide gomendatua jarraitu dezakezu. FortiSwitch-en erabiltzaile interfaze grafikoan dagoen kalteberatasuna dagokionez, bertsio kaltetuetan eguneraketa zehatzak ere egin beharko lirateke, esaterako, FortiSwitch 7.6.0 bertsioa 7.6.1 edo goiagoko bertsiora eguneratu beharko litzateke. Aukera gisa, HTTP/HTTPS sarbidea desgaitu daiteke administratzaile interfazetik eta konfidantza duten host-ak konfiguratu daitezke, sistemara konektatu ahal diren host-ak murrizteko, emandako komandoak erabiliz.

Erreferentzia gehigarriak