Fortinet ha identificato e corretto 15 falle di sicurezza, una delle quali una vulnerabilità critica situata in FortiOS e FortiProxy.
CVE-2023-25610 Panoramica tecnica
La vulnerabilità, identificato come CVE-2023-25610, ha un grado di gravità di 9.3 su 10 sulla scala CVSS, ed è stato segnalato dai team di sicurezza dell'azienda. Se sfruttata, questo difetto di buffer underwrite consentirebbe agli aggressori remoti non autenticati di eseguire codice arbitrario sui dispositivi esposti, o condurre un attacco denial of service alla GUI, con l'aiuto di richieste appositamente predisposte.
Un buffer underwrite si verifica quando i dati di input sono più corti dello spazio allocato, che può portare a comportamenti imprevedibili o dati sensibili trapelati, secondo l'avviso ufficiale. Attualmente, Fortinet non è a conoscenza di casi in cui questa vulnerabilità è stata utilizzata in modo dannoso. La società ha aggiunto che stanno costantemente rivedendo ed esaminando la sicurezza dei loro prodotti, e questa particolare vulnerabilità è stata identificata internamente attraverso questi mezzi.
Quali prodotti Fortinet sono stati interessati da CVE-2023-25610?
La vulnerabilità CVE-2023-25610 ha interessato le seguenti versioni di FortiOS e FortiProxy:
Versione FortiOS 7.2.0 attraverso 7.2.3
Versione FortiOS 7.0.0 attraverso 7.0.9
Versione FortiOS 6.4.0 attraverso 6.4.11
Versione FortiOS 6.2.0 attraverso 6.2.12
Forti OS 6.0 tutte le versioni
Versione FortiProxy 7.2.0 attraverso 7.2.2
Versione FortiProxy 7.0.0 attraverso 7.0.8
Versione FortiProxy 2.0.0 attraverso 2.0.11
FortiProxy 1.2 tutte le versioni
FortiProxy 1.1 tutte le versioni
Anche quando si esegue una versione vulnerabile di FortiOS, una serie di dispositivi hardware dell'azienda elencati nell'avviso sono interessati solo dalla parte DoS del problema, non dall'esecuzione di codice arbitrario. I dispositivi non elencati sono vulnerabili a entrambi, Fortinet ha detto.
L'advisory presenta anche una possibile soluzione alternativa. CVE-2023-25610 è stato scoperto internamente e segnalato da Kai Ni del team Burnaby InfoSec.
CVE-2022-39947 è un altro esempio di una grave vulnerabilità di Fortinet scoperta a gennaio 2023 nel prodotto FortiADC, un avanzato controller di distribuzione di applicazioni e database di Fortinet. La vulnerabilità è stata definita come un problema di iniezione di comandi nell'interfaccia web del prodotto, nominale 8.6 su 10 sulla scala CVSS.