Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowa krytyczna podatność w Fortigate (precyzyjniej: FortiOS/FortiProxy). Łatajcie się.
Tym razem mamy podatność klasy buffer overflow, która może być wykorzystana bez uwierzytelnienia / zdalnie:
FortiOS/FortiProxy – Proxy mode with deep inspection – Stack-based buffer overflow
Po tym krótkim opisie mniej więcej widać gdzie jest problem. Atakujący wysyła odpowiednią (złośliwą) komunikację, jest ona analizowana przez urządzenie, co powoduje… wykonanie kodu (RCE) na nim. Producent opisuje to tak:
A stack-based overflow vulnerability [CWE-124] in FortiOS & FortiProxy may allow a remote attacker to execute arbitrary code or command via crafted packets reaching proxy policies or firewall policies with proxy mode alongside SSL deep packet inspection.
Nadzieją jest to, że nie wszyscy muszą mieć włączoną ww. opcję. Podatne wersje OS
FortiOS 7.2.0 -> 7.2.3
FortiOS 7.0.0 -> 7.0.10
FortiProxy 7.2.0 -> 7.2.2
FortiProxy 7.0.0 -> 7.0.9
Łatajcie się.
~ms
Ale żenada, podatność w deep inspection, które jako jedyne gwarantuje że będzie działać IPS :/
Żenada to całe FortiOS od ostatnich…3 lat. A człowiek tyle zainwestował….
Żenada, jeśli ktoś używa do dzisiaj FortiOS’a w tych wersjach. Wcześniej były inne podatności (SSLVPN) wymagające podniesienia tych wersji.
Aktualne, wydane około miesiąc temu wersje dla poszczególnych linii FortiOS to: 7.4.0; 7.2.5; 7.0.12; 6.4.14. Rozumiem, jak ktoś nie podnosi wersji funkcjonalnych, ale nie robić aktualizacji bezpieczeństwa w ramach wersji? To obciach.
Bez przesady, nie ma co panikować.
Kto rozsądny stawia firmware x.x.0 (z zerem na końcu) w produkcji ???
Każdy rozsądny takie wersje stawia tylko w Labie by zobaczyć co się zmieniło, ale nigdy w produkcji.
W końcy zgodnei z starą dewizą: „every new version generates new bugs”
tutaj jest cały zakres, od 7.0.0 do 7.0.10, więc to nie chodzi tylko o zerówki.
ciekawe kto jeszcze jest na wersji 7.0.10 bo do 7.0.11 była jakaś mega podatność
Po tylu wpadkach żadnego fortka więcej. Zamiast ogłosić darmowy update dla wszystkich to klientów mają gdzieś. Rynek ich będzie miał gdzieś.
Firma traci na wizerunku ehhh
Hinduska jakość klepaczy kodu. Byle więcej fajerwerków bez jakości.
Paradoks jest taki, że Fortinet ma rekordowe notowanie giełdowe.