در دو ماه اخیر، شرکت فورتینت (Fortinet, Inc) با انتشار بهروزرسانی، ۱۰ آسیبپذیری را در چند محصول خود ترمیم کرده است.
به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت fortiguard، این بهروزرسانیها، دامنه گستردهای از ضعفهای امنیتی نظیر “اجرای کد بهصورت از راه دور” (Remote Code Execution)، “تزریق SQL” و “از کاراندازی سرویس” (Denial of Service – به اختصار DoS) را برطرف میکنند.
فهرست محصولات مشمول این بهروزرسانیها بهشرح زیر است:
FortiDeceptor
FortiGate
FortiIsolator
FortiProxy
FortiWeb
عمر برخی از آسیبپذیریهای ترمیم شده توسط این به روزرسانیها به سال ۲۰۱۸ برمیگردد. برای مثال میتوان به CVE-۲۰۱۸-۱۳۳۸۱ اشاره کرد که مهاجم را به اجرای حمله DoS بر ضد FortiProxy SSL VPN، تنها با ارسال یک درخواست دستکاری شده POST قادرمیکند. بهرهجویی (Exploit) از CVE-۲۰۱۸-۱۳۳۸۱ بهصورت از راه دور و بدون نیاز به هر گونه اصالتسنجی ممکن گزارش شده است.
یا CVE-۲۰۱۸-۱۳۳۸۳ که سوءاستفاده از آن با ارسال یک صفحه وب حاوی کدهای مخرب JavaScript به FortiOS SSL VPN امکان بروز DoS و اجرای کد بهصورت از راه دور را برای مهاجم فراهم میکند.
از دیگر آسیبپذیریهای بااهمیت ترمیمشده توسط بهروزرسانیهای اخیر فورتینت میتوان به موارد زیر اشاره کرد:
لازم به ذکر است عیلرغم آنکه فورتینت به برخی آسیبپذیریهای مذکور از جمله CVE-۲۰۲۰-۲۹۰۱۵ شدت حساسیت “متوسط” (Medium) را تخصیص داده اما مؤسسه NVD شدت آنها را “حیاتی” (Critical) گزارش کرده است. برای مثال، در سایت NVD، شدت حساسیت CVE-۲۰۲۰-۲۹۰۱۵ مقدار ۹,۸ از ۱۰ اعلام شده اما در مقابل در توصیهنامه فورتینت، مقدار ۶,۴ ثبت شده است. دلیل این اختلاف، جدیدتر بودن نسخه استاندارد CVSS (نسخه ۳.۱) مورد استفاده NVD در مقایسه با نسخه CVSS مورد استناد فورتینت (نسخه ۳) است. لذا توصیه میشود در اولویتبندی اعمال بهروزرسانیها و ارزیابی ریسک، صرفاً به توصیهنامههای فورتینت اکتفا نشود.
توصیهنامههای فورتینت در لینکهای زیر قابل دریافت و مطالعه است:
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۷۷
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۳
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۶
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۵
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۲۴
https://www.fortiguard.com/psirt/FG-IR-۲۰-۱۰۳
https://www.fortiguard.com/psirt/FG-IR-۲۰-۰۱۱
https://www.fortiguard.com/psirt/FG-IR-۲۰-۲۲۹
دیدگاه شما