BSI, Fortinet SSL VPN'deki kritik bir güvenlik açığının aktif olarak kullanılmasına karşı uyarır. FortiGate güvenlik duvarlarında kullanılan FortiOS'un hizmeti, saldırganların kötü amaçlı kod veya komutlar yürütmesine izin verir.
BSI'ya göre, FortiGate güvenlik duvarlarını kullanan şirketler, cihazlarına mümkün olan en kısa sürede yama yapmalıdır. Güvenlik açığı üretici tarafından belirlenir Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) v3.1 9.3 üzerinden 10 genel CVSS puanı ile "kritik" olarak derecelendirildi. Güvenlik açığı için CVE-2022-42475 atandı. Fortinet PSIRT - Ürün Güvenliği Olay Müdahale Ekibi'ne göre, SSL VPN hizmetinde yığın tabanlı bir arabellek taşması güvenlik açığı var.
FortiGate Güvenlik Duvarları: Güvenlik açığının aktif kullanımı
Fortinet'in PSIRT'si, aşağıdaki ürün sürümlerinin bu güvenlik açığından etkilendiğini gösteriyor:
- FortiOS-6K7K sürüm 7.0.0 – 7.0.7
- FortiOS-6K7K sürüm 6.4.0 – 6.4.9
- FortiOS-6K7K sürüm 6.2.0 – 6.2.11
- FortiOS-6K7K sürüm 6.0.0 – 6.0.14
- FortiOS sürüm 7.2.0 – 7.2.2
- FortiOS sürüm 7.0.0 – 7.0.8
- FortiOS sürüm 6.4.0 – 6.4.10
- FortiOS sürüm 6.2.0 – 6.2.11
Üretici Fortinet ayrıca, güvenlik açığından başarılı bir şekilde yararlanıldığına dair bir vakanın zaten gözlemlendiğini duyurdu. Bu nedenle, yama önlemlerinin derhal uygulanması önerilir. Fortinet, web sitesinde zaten uygun olan yamalar için talimatlar sağlar.
- FortiOS sürüm 7.2.3 veya üstü
- FortiOS sürüm 7.0.9 veya üstü
- FortiOS sürüm 6.4.11 veya üstü
- FortiOS sürüm 6.2.12 veya üstü
- FortiOS-6K7K sürüm 7.0.8 veya üzeri
- FortiOS-6K7K sürüm 6.4.10 veya üzeri
- FortiOS-6K7K sürüm 6.2.12 veya üzeri
- FortiOS-6K7K sürüm 6.0.15 veya üzeri
Federal Bilgi Güvenliği Ofisi (BSI) hakkında Federal Bilgi Güvenliği Ofisi (BSI), federal siber güvenlik yetkilisidir ve Almanya'da güvenli sayısallaştırma tasarımcısıdır. Görev beyanı: Federal siber güvenlik otoritesi olarak BSI, devlet, iş dünyası ve toplum için önleme, tespit ve müdahale yoluyla dijitalleştirmede bilgi güvenliği tasarlar.