安全通告-Fortinet多个漏洞风险提示
发布时间:2023-01-10
阅读次数:2128
一、 漏洞公告
近日,监测到Fortinet官方发布了安全公告,修复了两个命令注入漏洞,其中包括Fortinet FortiADC命令注入漏洞(CVE-2022-39947)、Fortinet FortiTester命令注入漏洞(CVE-2022-35845)。远程攻击者成功利用漏洞可能会在目标主机执行任意命令。官方已发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接:
https://www.fortiguard.com/psirt/FG-IR-22-061
https://www.fortiguard.com/psirt/FG-IR-22-274
二、影响范围
Fortinet FortiADC命令注入漏洞(CVE-2022-39947)
受影响版本:
7.0.0 ≤ FortiADC ≤ 7.0.2
6.2.0 ≤ FortiADC ≤ 6.2.3
6.1.0 ≤ FortiADC ≤ 6.1.6
6.0.0 ≤ FortiADC ≤ 6.0.4
5.4.0 ≤ FortiADC ≤ 5.4.5
安全版本:
FortiADC ≥ 7.0.2
FortiADC ≥ 6.2.4
Fortinet FortiTester命令注入漏洞(CVE-2022-35845)
受影响版本:
FortiTester 7.1.0
FortiTester 7.0.x
4.0.0 ≤ FortiTester ≤ 4.2.0
2.3.0 ≤ FortiTester ≤ 3.9.1
安全版本:
FortiTester ≥ 7.2.0
FortiTester ≥ 7.1.1
FortiTester ≥ 4.2.1
FortiTester ≥ 3.9.2
三、漏洞描述
Fortinet FortiADC是一款应用交付控制器,可优化应用的性能和可用性,同时通过自身的原生安全工具和将应用交付集成到Fortinet Security Fabric安全架构中来保障应用的安全。
Fortinet FortiTester是提供性能测试、验证网络安全基础设施和服务的一种解决方案。
Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,经过身份验证的远程攻击者可以访问Web GUI以通过特制的HTTP请求执行未经授权的代码或命令。
Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,经过身份验证的攻击者可以利用该漏洞在shell中执行任意命令。
四、缓解措施
高危:目前漏洞细节和测试代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时更新至安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://www.fortinet.com/cn/support/product-downloads
来源:Fortinet官方
/
网络安全