O problema, rastreado como CVE-2023-25610 , tem classificação 9,3 de 10 para gravidade e foi descoberto internamente e relatado por suas equipes de segurança.
“Uma vulnerabilidade de buffer underwrite (‘buffer underflow’) na interface administrativa FortiOS e FortiProxy pode permitir que um invasor remoto não autenticado execute código arbitrário no dispositivo e/ou execute um DoS na GUI, por meio de solicitações especificamente criadas”, disse a Fortinet em uma entrevista.
Bugs de subfluxo , também chamados de buffer underruns , ocorrem quando os dados de entrada são menores que o espaço reservado, causando comportamento imprevisível ou vazamento de dados confidenciais da memória.
Outras possíveis consequências incluem corrupção de memória que pode ser armada para induzir uma falha ou executar código arbitrário.
A Fortinet disse que não está ciente de nenhuma tentativa de exploração maliciosa contra a falha. Mas, dado que as falhas anteriores no software sofreram abuso ativo na natureza, é essencial que os usuários ajam rapidamente para aplicar os patches.
As seguintes versões do FortiOS e FortiProxy são afetadas pela vulnerabilidade –
- FortiOS versão 7.2.0 até 7.2.3
- FortiOS versão 7.0.0 a 7.0.9
- FortiOS versão 6.4.0 até 6.4.11
- FortiOS versão 6.2.0 até 6.2.12
- FortiOS 6.0 todas as versões
- FortiProxy versão 7.2.0 a 7.2.2
- FortiProxy versão 7.0.0 a 7.0.8
- FortiProxy versão 2.0.0 a 2.0.11
- FortiProxy 1.2 todas as versões
- FortiProxy 1.1 todas as versões
As correções estão disponíveis nas versões FortiOS 6.2.13, 6.4.12, 7.0.10, 7.2.4 e 7.4.0; FortiOS-6K7K versões 6.2.13, 6.4.12 e 7.0.10; e FortiProxy versões 2.0.12, 7.0.9 e 7.0.9.
Como soluções alternativas, a Fortinet recomenda que os usuários desabilitem a interface administrativa HTTP/HTTPS ou limitem os endereços IP que podem alcançá-la.
A divulgação ocorre semanas depois que a empresa de segurança de rede emitiu correções para 40 vulnerabilidades , duas das quais são classificadas como críticas e afetam os produtos FortiNAC (CVE-2022-39952) e FortiWeb (CVE-2021-42756).
6 thoughts on “Nova falha crítica no FortiOS e FortiProxy pode levar à buffer underflow”
Comments are closed.