Fortinet ha pubblicato nuovi avvisi di sicurezza sulle vulnerabilità di FortiOS e FortiSandbox. I valori CVSS sono compresi tra 7.3 e 7.9 e sono quindi considerati altamente pericolosi. I responsabili della sicurezza IT dovrebbero apportare aggiornamenti immediatamente.
Gli avvisi di sicurezza di Fortinet descrivono in dettaglio le vulnerabilità altamente pericolose e le possibili conseguenze.
FortiOS – Autorizzazione illegale tramite il profilo Prof Admin (CVSSv3 7.4)
Problema: Una vulnerabilità di autorizzazione impropria [CWE-285] nel componente WEB-UI di FortiOS potrebbe consentire a un utente malintenzionato autenticato con il profilo prof-admin di eseguire azioni elevate.
soluzione: FortiOS 7.4 non è interessato, l'aggiornamento FortiOS 7.2 da 7.2.0 a 7.2.4 deve essere aggiornato alla versione 7.2.5 o successiva, FortiOS 7.0 da 7.0.0 a 7.0.11 deve essere aggiornato alla versione 7.0.12 o successiva.
FortiSandbox - Cross Site Scripting (XSS) riflesso sull'endpoint di rendering File OnDemand (CVSSv3 7.3)
Problema: La neutralizzazione impropria dell'input durante la generazione della pagina Web ("cross-site scripting") della vulnerabilità [CWE-79] in FortiSandbox potrebbe consentire a un utente malintenzionato autenticato di condurre un attacco di cross-site scripting tramite richieste HTTP predisposte.
soluzione: FortiSandbox da 2.4.1 a 3.2 deve essere migrato a una versione fissa. Fortinet da 4.0.0 a 4.0.3 richiede un aggiornamento a 4.0.4. Fortinet da 4.2.0 a 4.2.5 e da 4.4.0 a 4.4.1 richiedono un aggiornamento alla versione 4.4.2 o successiva.
FortiSandbox – Eliminazione arbitraria di file (CVSSv3 7.9)
Problema: La restrizione impropria di un percorso a una vulnerabilità di directory (“Path Traversal”) [CWE-22] in FortiSandbox potrebbe consentire a un utente malintenzionato con privilegi limitati di eliminare file arbitrari tramite richieste http predisposte. Sono interessate tutte le versioni di FortiSandbox da 2.4 a 3.2, versioni da 4.0.0 a 4.0.3, versioni da 4.2.0 a 4.2.5 e versione 4.4.0
soluzione: Le versioni sicure sono FortiSandbox 4.0.4, 4.2.6 e 4.4.2 o successive. Gli aggiornamenti sono disponibili per il download.
FortiSandbox – XSS durante l'eliminazione dell'endpoint (CVSSv3 7.3)
Problema: La vulnerabilità [CWE-79] in FortiSandbox, che neutralizza molteplici input impropri durante la generazione del sito Web ("cross-site scripting"), potrebbe consentire a un utente malintenzionato autenticato di eseguire un attacco di cross-site scripting tramite richieste HTTP predisposte.
soluzione: FortiSandbox da 2.4.1 a 3.2 deve essere migrato a una versione fissa. Fortinet da 4.0.0 a 4.0.3 richiede un aggiornamento a 4.0.4. Fortinet da 4.2.0 a 4.2.5 e da 4.4.0 a 4.4.1 richiedono un aggiornamento alla versione 4.4.2 o successiva.
Ulteriori avvisi di sicurezza, descrizioni e aggiornamenti corrispondenti sono disponibili su Fortinet.
Maggiori informazioni su Sophos.com
A proposito di Fortinet Fortinet (NASDAQ: FTNT) protegge le risorse più preziose di alcune delle più grandi aziende, fornitori di servizi e agenzie governative del mondo. Offriamo ai nostri clienti visibilità e controllo completi sulla superficie di attacco in espansione e la capacità di soddisfare requisiti di prestazioni sempre crescenti oggi e in futuro. Solo la piattaforma Fortinet Security Fabric è in grado di affrontare le sfide di sicurezza più critiche e proteggere i dati nell'intera infrastruttura digitale, in ambienti di rete, applicativi, multi-cloud o edge. Fortinet è il numero 1 per la maggior parte delle appliance di sicurezza vendute. Più di 455.000 clienti si affidano a Fortinet per proteggere il proprio marchio. Sia un'azienda tecnologica che una società di formazione, il Fortinet Network Security Expert (NSE) Institute offre uno dei programmi di formazione sulla sicurezza informatica più ampi e completi del settore. Per ulteriori informazioni, visitare www.fortinet.de, Fortinet Blog o FortiGuard Labs.