A Fortinet publicou novos avisos de segurança sobre as vulnerabilidades no FortiOS e FortiSandbox. Os valores CVSS estão entre 7.3 e 7.9 e, portanto, são considerados altamente perigosos. Os gerentes de segurança de TI devem fazer atualizações imediatamente.
Os avisos de segurança da Fortinet descrevem detalhadamente as vulnerabilidades altamente perigosas e as possíveis consequências.
FortiOS – Autorização ilegal via perfil Prof Admin (CVSSv3 7.4)
Problema: Uma vulnerabilidade de autorização inadequada [CWE-285] no componente WEB-UI do FortiOS pode permitir que um invasor autenticado com o perfil prof-admin execute ações elevadas.
solução: O FortiOS 7.4 não é afetado, a atualização do FortiOS 7.2 7.2.0 para 7.2.4 precisa ser atualizada para 7.2.5 ou superior, o FortiOS 7.0 7.0.0 para 7.0.11 precisa ser atualizado para 7.0.12 ou superior.
FortiSandbox - Reflected Cross Site Scripting (XSS) no endpoint de renderização File OnDemand (CVSSv3 7.3)
Problema: A vulnerabilidade de neutralização inadequada de entrada durante a geração de páginas da web (“cross-site scripting”) [CWE-79] no FortiSandbox pode permitir que um invasor autenticado conduza um ataque de cross-site scripting por meio de solicitações HTTP criadas.
solução: FortiSandbox 2.4.1 a 3.2 precisa ser migrado para uma versão fixa. Fortinet 4.0.0 a 4.0.3 requer uma atualização para 4.0.4. Fortinet 4.2.0 a 4.2.5 e 4.4.0 a 4.4.1 requerem uma atualização para 4.4.2 ou posterior.
FortiSandbox – Exclusão arbitrária de arquivos (CVSSv3 7.9)
Problema: A restrição inadequada de um nome de caminho para uma vulnerabilidade de diretório restrito (“Path Traversal”) [CWE-22] no FortiSandbox pode permitir que um invasor de baixo privilégio exclua arquivos arbitrários por meio de solicitações HTTP criadas. Todas as versões de são afetadas FortiSandbox 2.4 a 3.2, versões 4.0.0 a 4.0.3, versões 4.2.0 a 4.2.5 e versão 4.4.0
solução: As versões seguras são FortiSandbox 4.0.4, 4.2.6 e 4.4.2 ou posterior. As atualizações estão disponíveis para download.
FortiSandbox – XSS ao excluir endpoint (CVSSv3 7.3)
Problema: A vulnerabilidade [CWE-79] no FortiSandbox, que neutraliza múltiplas entradas inadequadas durante a geração do site (“cross-site scripting”), pode permitir que um invasor autenticado realize um ataque de cross-site scripting por meio de solicitações HTTP elaboradas.
solução: FortiSandbox 2.4.1 a 3.2 precisa ser migrado para uma versão fixa. Fortinet 4.0.0 a 4.0.3 requer uma atualização para 4.0.4. Fortinet 4.2.0 a 4.2.5 e 4.4.0 a 4.4.1 requerem uma atualização para 4.4.2 ou posterior.
Mais avisos de segurança, descrições e atualizações correspondentes podem ser encontrados na Fortinet.
Mais em Sophos.com
Sobre a Fortinet A Fortinet (NASDAQ: FTNT) protege os ativos mais valiosos de algumas das maiores empresas, provedores de serviços e agências governamentais do mundo. Oferecemos aos nossos clientes visibilidade e controle completos sobre a superfície de ataque em expansão e a capacidade de atender aos requisitos de desempenho cada vez maiores hoje e no futuro. Somente a plataforma Fortinet Security Fabric pode enfrentar os desafios de segurança mais críticos e proteger dados em toda a infraestrutura digital, seja em rede, aplicativos, multinuvem ou ambientes de borda. Fortinet é o número 1 para a maioria dos dispositivos de segurança enviados. Mais de 455.000 clientes confiam na Fortinet para proteger sua marca. Tanto uma empresa de tecnologia quanto uma empresa de treinamento, o Fortinet Network Security Expert (NSE) Institute possui um dos maiores e mais abrangentes programas de treinamento em segurança cibernética do setor. Para obter mais informações, visite www.fortinet.de, Fortinet Blog ou FortiGuard Labs.