Alerta BSI: Vulnerabilidade crítica no Fortinet SSL VPN

14. Dezembro 2022
| Sem comentários
Notícias curtas sobre segurança cibernética B2B

Compartilhar postagem

O BSI adverte contra a exploração ativa de uma vulnerabilidade crítica no Fortinet SSL VPN. O serviço FortiOS, usado nos firewalls FortiGate, permite que invasores executem códigos ou comandos maliciosos.

De acordo com o BSI, as empresas que usam firewalls FortiGate devem corrigir seus dispositivos o mais rápido possível. A vulnerabilidade é determinada pelo fabricante Sistema de Pontuação de Vulnerabilidade Comum (CVSS) v3.1 classificado como “crítico” com uma pontuação CVSS geral de 9.3 em 10. CVE-2022-42475 foi atribuído para a vulnerabilidade. De acordo com o Fortinet PSIRT - Product Security Incident Response Team - há uma vulnerabilidade de estouro de buffer baseada em heap no serviço SSL VPN.

FortiGate Firewalls: Uso ativo da vulnerabilidade

O PSIRT da Fortinet indica que as seguintes versões do produto são afetadas pela vulnerabilidade:

  • FortiOS-6K7K versão 7.0.0 – 7.0.7
  • FortiOS-6K7K versão 6.4.0 – 6.4.9
  • FortiOS-6K7K versão 6.2.0 – 6.2.11
  • FortiOS-6K7K versão 6.0.0 – 6.0.14
  • FortiOS versão 7.2.0 – 7.2.2
  • FortiOS versão 7.0.0 – 7.0.8
  • FortiOS versão 6.4.0 – 6.4.10
  • FortiOS versão 6.2.0 – 6.2.11

O fabricante Fortinet também anunciou que já havia sido observado um caso de exploração bem-sucedida da vulnerabilidade. Portanto, a implementação imediata das medidas de correção é recomendada. A Fortinet fornece as instruções para patches já adequados em seu site.

  • FortiOS versão 7.2.3 ou superior
  • FortiOS versão 7.0.9 ou superior
  • FortiOS versão 6.4.11 ou superior
  • FortiOS versão 6.2.12 ou superior
  • FortiOS-6K7K versão 7.0.8 ou superior
  • FortiOS-6K7K versão 6.4.10 ou superior
  • FortiOS-6K7K versão 6.2.12 ou superior
  • FortiOS-6K7K versão 6.0.15 ou superior
Mais em BSI.Bund.de

 

Sobre o Escritório Federal de Segurança da Informação (BSI)

O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.

 

Artigos relacionados ao tema

Relatório: 40% mais phishing em todo o mundo

O relatório atual de spam e phishing da Kaspersky para 2023 fala por si: os usuários na Alemanha estão atrás ➡ Leia mais

BSI define padrões mínimos para navegadores da web

O BSI revisou o padrão mínimo para navegadores web para administração e publicou a versão 3.0. Você pode se lembrar disso ➡ Leia mais

Malware furtivo tem como alvo empresas europeias

Os hackers estão atacando muitas empresas em toda a Europa com malware furtivo. Os pesquisadores da ESET relataram um aumento dramático nos chamados ataques AceCryptor via ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Teste: software de segurança para endpoints e PCs individuais

Os últimos resultados dos testes do laboratório AV-TEST mostram um desempenho muito bom de 16 soluções de proteção estabelecidas para Windows ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

HeadCrab 2.0 descoberto

A campanha HeadCrab contra servidores Redis, ativa desde 2021, continua a infectar alvos com sucesso com a nova versão. O miniblog dos criminosos ➡ Leia mais

notícias curtas