O BSI adverte contra a exploração ativa de uma vulnerabilidade crítica no Fortinet SSL VPN. O serviço FortiOS, usado nos firewalls FortiGate, permite que invasores executem códigos ou comandos maliciosos.
De acordo com o BSI, as empresas que usam firewalls FortiGate devem corrigir seus dispositivos o mais rápido possível. A vulnerabilidade é determinada pelo fabricante Sistema de Pontuação de Vulnerabilidade Comum (CVSS) v3.1 classificado como “crítico” com uma pontuação CVSS geral de 9.3 em 10. CVE-2022-42475 foi atribuído para a vulnerabilidade. De acordo com o Fortinet PSIRT - Product Security Incident Response Team - há uma vulnerabilidade de estouro de buffer baseada em heap no serviço SSL VPN.
FortiGate Firewalls: Uso ativo da vulnerabilidade
O PSIRT da Fortinet indica que as seguintes versões do produto são afetadas pela vulnerabilidade:
- FortiOS-6K7K versão 7.0.0 – 7.0.7
- FortiOS-6K7K versão 6.4.0 – 6.4.9
- FortiOS-6K7K versão 6.2.0 – 6.2.11
- FortiOS-6K7K versão 6.0.0 – 6.0.14
- FortiOS versão 7.2.0 – 7.2.2
- FortiOS versão 7.0.0 – 7.0.8
- FortiOS versão 6.4.0 – 6.4.10
- FortiOS versão 6.2.0 – 6.2.11
O fabricante Fortinet também anunciou que já havia sido observado um caso de exploração bem-sucedida da vulnerabilidade. Portanto, a implementação imediata das medidas de correção é recomendada. A Fortinet fornece as instruções para patches já adequados em seu site.
- FortiOS versão 7.2.3 ou superior
- FortiOS versão 7.0.9 ou superior
- FortiOS versão 6.4.11 ou superior
- FortiOS versão 6.2.12 ou superior
- FortiOS-6K7K versão 7.0.8 ou superior
- FortiOS-6K7K versão 6.4.10 ou superior
- FortiOS-6K7K versão 6.2.12 ou superior
- FortiOS-6K7K versão 6.0.15 ou superior
Sobre o Escritório Federal de Segurança da Informação (BSI) O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.