Il BSI mette in guardia contro lo sfruttamento attivo di una vulnerabilità critica in Fortinet SSL VPN. Il servizio FortiOS, utilizzato sui firewall FortiGate, consente agli aggressori di eseguire codice o comandi dannosi.
Secondo BSI, le aziende che utilizzano i firewall FortiGate dovrebbero applicare patch ai propri dispositivi il prima possibile. La vulnerabilità è determinata dal produttore Sistema comune di punteggio delle vulnerabilità (CVSS) v3.1 valutato "critico" con un punteggio CVSS complessivo di 9.3 su 10. CVE-2022-42475 è stato assegnato per la vulnerabilità. Secondo il Fortinet PSIRT - Product Security Incident Response Team - esiste una vulnerabilità di overflow del buffer basata su heap nel servizio SSL VPN.
Firewall FortiGate: utilizzo attivo della vulnerabilità
Il PSIRT di Fortinet indica che le seguenti versioni del prodotto sono interessate dalla vulnerabilità:
- FortiOS-6K7K versione 7.0.0 – 7.0.7
- FortiOS-6K7K versione 6.4.0 – 6.4.9
- FortiOS-6K7K versione 6.2.0 – 6.2.11
- FortiOS-6K7K versione 6.0.0 – 6.0.14
- FortiOS versione 7.2.0 – 7.2.2
- FortiOS versione 7.0.0 – 7.0.8
- FortiOS versione 6.4.0 – 6.4.10
- FortiOS versione 6.2.0 – 6.2.11
Il produttore Fortinet ha anche annunciato che era già stato osservato un caso di sfruttamento riuscito della vulnerabilità. Pertanto, si raccomanda l'immediata attuazione delle misure di patch. Fortinet fornisce le istruzioni per le patch già idonee sul proprio sito web.
- FortiOS versione 7.2.3 o successiva
- FortiOS versione 7.0.9 o successiva
- FortiOS versione 6.4.11 o successiva
- FortiOS versione 6.2.12 o successiva
- FortiOS-6K7K versione 7.0.8 o successiva
- FortiOS-6K7K versione 6.4.10 o successiva
- FortiOS-6K7K versione 6.2.12 o successiva
- FortiOS-6K7K versione 6.0.15 o successiva
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.