非常に危険なギャップがある FortiOS と FortiSandbox

24。 10月2023
| コメントはありません
B2B サイバー セキュリティ ショート ニュース

投稿を共有する

フォーティネットは、FortiOS および FortiSandbox の脆弱性に関する新しいセキュリティ アドバイザリを公開しました。 CVSS 値は 7.3 ~ 7.9 であるため、非常に危険であると考えられます。 IT セキュリティ管理者は直ちに更新を行う必要があります。

フォーティネットのセキュリティ アドバイザリでは、非常に危険な脆弱性と考えられる結果について詳細に説明しています。

FortiOS – Prof Admin プロファイルによる不正な認証 (CVSSv3 7.4)

問題: FortiOS の WEB-UI コンポーネントに不適切な認証の脆弱性 [CWE-285] があるため、prof-admin プロファイルを持つ認証された攻撃者が昇格されたアクションを実行できる可能性があります。

解決: FortiOS 7.4 は影響を受けません。FortiOS 7.2 7.2.0 から 7.2.4 へのアップグレードは 7.2.5 以降に、FortiOS 7.0 7.0.0 から 7.0.11 は 7.0.12 以降にアップグレードする必要があります。

FortiSandbox - ファイル オンデマンド レンダリング エンドポイントでのクロス サイト スクリプティング (XSS) の反映 (CVSSv3 7.3)

問題: FortiSandbox の Web ページ生成中の入力の不適切な無効化 (「クロスサイト スクリプティング」) の脆弱性 [CWE-79] により、認証された攻撃者が細工された HTTP リクエストを介してクロスサイト スクリプティング攻撃を実行できる可能性があります。

解決: FortiSandbox 2.4.1 から 3.2 は修正バージョンに移行する必要があります。 Fortinet 4.0.0 から 4.0.3 には 4.0.4 へのアップグレードが必要です。 Fortinet 4.2.0 から 4.2.5 および 4.4.0 から 4.4.1 では、4.4.2 以降へのアップグレードが必要です。

FortiSandbox – 任意のファイルの削除 (CVSSv3 7.9)

問題: FortiSandbox の制限されたディレクトリへのパス名の不適切な制限 (「パス トラバーサル」) の脆弱性 [CWE-22] により、権限の低い攻撃者が細工された http リクエストを介して任意のファイルを削除できる可能性があります。 のすべてのバージョンが影響を受けます FortiSandbox 2.4 ~ 3.2、バージョン 4.0.0 ~ 4.0.3、バージョン 4.2.0 ~ 4.2.5、およびバージョン 4.4.0

解決: 安全なバージョンは FortiSandbox 4.0.4、4.2.6、および 4.4.2 以降です。 アップデートはダウンロードできます。

FortiSandbox – エンドポイント削除時の XSS (CVSSv3 7.3)

問題: Web ページ生成中の複数の不適切な入力 (「クロスサイト スクリプティング」) を無力化する FortiSandbox の脆弱性 [CWE-79] により、認証された攻撃者が細工された HTTP リクエストを介してクロスサイト スクリプティング攻撃を実行できる可能性があります。

解決: FortiSandbox 2.4.1 から 3.2 は修正バージョンに移行する必要があります。 Fortinet 4.0.0 から 4.0.3 には 4.0.4 へのアップグレードが必要です。 Fortinet 4.2.0 から 4.2.5 および 4.4.0 から 4.4.1 では、4.4.2 以降へのアップグレードが必要です。

さらなるセキュリティ勧告、説明、および対応するアップデートについては、フォーティネットでご覧ください。

詳細は Sophos.com をご覧ください

 

フォーティネットについて

フォーティネット (NASDAQ: FTNT) は、世界最大級の企業、サービス プロバイダー、政府機関の最も貴重な資産を保護しています。 私たちは、拡大する攻撃対象領域に対する完全な可視性と制御、および現在および将来にわたってますます増大するパフォーマンス要件を満たす能力をお客様に提供します。 フォーティネット セキュリティ ファブリック プラットフォームだけが、ネットワーク、アプリケーション、マルチクラウド、またはエッジ環境のいずれにおいても、最も重要なセキュリティの課題に対処し、デジタル インフラストラクチャ全体にわたってデータを保護できます。 フォーティネットは、最も多く出荷されているセキュリティ アプライアンスで第 1 位です。 455.000 を超える顧客が、自社のブランドを保護するためにフォーティネットを信頼しています。 Fortinet Network Security Expert (NSE) Institute は、テクノロジー企業であると同時にトレーニング企業でもあり、業界で最大かつ最も包括的なサイバー セキュリティ トレーニング プログラムの XNUMX つを提供しています。 詳細については、www.fortinet.de、フォーティネット ブログ、または FortiGuard Labs をご覧ください。

 

トピックに関連する記事

レポート: 世界中でフィッシングが 40% 増加

カスペルスキーの 2023 年のスパムとフィッシングに関する現在のレポートがすべてを物語っています。ドイツのユーザーは次のようなことを求めています。 ➡続きを読む

BSI が Web ブラウザの最低基準を設定

BSI は管理用 Web ブラウザの最低標準を改訂し、バージョン 3.0 を公開しました。それを思い出すことができます ➡続きを読む

欧州企業を狙うステルスマルウェア

ハッカーはステルスマルウェアを使ってヨーロッパ中の多くの企業を攻撃しています。 ESETの研究者は、いわゆるAceCryptor攻撃が劇的に増加していることを報告しました。 ➡続きを読む

IT セキュリティ: LockBit 4.0 の基礎の解除

トレンドマイクロは英国国家犯罪庁(NCA)と協力し、開発中の未公開バージョンを分析した。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

テスト: エンドポイントおよび個々の PC 用のセキュリティ ソフトウェア

AV-TEST ラボからの最新のテスト結果は、Windows 向けの 16 の確立された保護ソリューションの非常に優れたパフォーマンスを示しています。 ➡続きを読む

FBI:インターネット犯罪報告書、被害額は12,5億ドルと集計 

FBI のインターネット犯罪苦情センター (IC3) は、2023 万人以上からの情報を含む 880.000 年のインターネット犯罪報告書を発表しました。 ➡続きを読む

HeadCrab 2.0 を発見

Redis サーバーに対する HeadCrab キャンペーンは 2021 年から活動を続けており、引き続き新しいバージョンのターゲットへの感染に成功しています。犯罪者のミニブログ ➡続きを読む

ショートニュース
, , , , ,