Fortinet, FortiOS ve FortiSandbox'taki güvenlik açıklarına ilişkin yeni güvenlik önerileri yayınladı. CVSS değerleri 7.3 ile 7.9 arasındadır ve bu nedenle oldukça tehlikeli kabul edilmektedir. BT güvenlik yöneticileri güncellemeleri hemen yapmalıdır.
Fortinet'in güvenlik tavsiyeleri son derece tehlikeli güvenlik açıklarını ve olası sonuçlarını ayrıntılı olarak açıklamaktadır.
FortiOS – Prof Admin profili aracılığıyla yasa dışı yetkilendirme (CVSSv3 7.4)
Sorun: FortiOS'un WEB-UI bileşenindeki uygunsuz bir yetkilendirme güvenlik açığı [CWE-285], prof-admin profiline sahip kimliği doğrulanmış bir saldırganın yükseltilmiş eylemler gerçekleştirmesine izin verebilir.
Çözüm: FortiOS 7.4 etkilenmez, FortiOS 7.2 7.2.0'dan 7.2.4'e yükseltmenin 7.2.5 veya daha yüksek bir sürüme güncellenmesi gerekir, FortiOS 7.0 7.0.0 ila 7.0.11'in 7.0.12 veya daha yüksek bir sürüme yükseltilmesi gerekir.
FortiSandbox - Dosya OnDemand işleme uç noktasında (CVSSv3 7.3) Yansıyan Siteler Arası Komut Dosyası (XSS)
Sorun: FortiSandbox'taki web sayfası oluşturma ("çapraz site komut dosyası oluşturma") güvenlik açığı [CWE-79] sırasında girişin uygunsuz şekilde etkisiz hale getirilmesi, kimliği doğrulanmış bir saldırganın hazırlanmış HTTP istekleri aracılığıyla siteler arası komut dosyası çalıştırma saldırısı gerçekleştirmesine izin verebilir.
Çözüm: FortiSandbox 2.4.1 ila 3.2'nin sabit bir sürüme taşınması gerekiyor. Fortinet 4.0.0'dan 4.0.3'e sürüm, 4.0.4'e yükseltmeyi gerektirir. Fortinet 4.2.0 ila 4.2.5 ve 4.4.0 ila 4.4.1, 4.4.2 veya sonraki bir sürüme yükseltme gerektirir.
FortiSandbox – İsteğe Bağlı Dosya Silme (CVSSv3 7.9)
Sorun: FortiSandbox'ta yol adının kısıtlı bir dizine ("Yol Geçişi") uygun olmayan şekilde kısıtlanması güvenlik açığı [CWE-22], düşük ayrıcalıklı bir saldırganın hazırlanmış http istekleri aracılığıyla rastgele dosyaları silmesine olanak verebilir. Tüm sürümleri etkilenir FortiSandbox 2.4 - 3.2, sürüm 4.0.0 - 4.0.3, sürüm 4.2.0 - 4.2.5 ve sürüm 4.4.0
Çözüm: Güvenli sürümler FortiSandbox 4.0.4, 4.2.6 ve 4.4.2 veya üzeridir. Güncellemeler indirilebilir.
FortiSandbox – Uç noktayı silerken XSS (CVSSv3 7.3)
Sorun: FortiSandbox'taki web sitesi oluşturma sırasında birden fazla uygunsuz girişi etkisiz hale getiren güvenlik açığı [CWE-79 (“siteler arası komut dosyası çalıştırma”), kimliği doğrulanmış bir saldırganın hazırlanmış HTTP istekleri aracılığıyla siteler arası komut dosyası çalıştırma saldırısı gerçekleştirmesine izin verebilir.
Çözüm: FortiSandbox 2.4.1 ila 3.2'nin sabit bir sürüme taşınması gerekiyor. Fortinet 4.0.0'dan 4.0.3'e sürüm, 4.0.4'e yükseltmeyi gerektirir. Fortinet 4.2.0 ila 4.2.5 ve 4.4.0 ila 4.4.1, 4.4.2 veya sonraki bir sürüme yükseltme gerektirir.
Daha fazla güvenlik tavsiyesi, açıklama ve ilgili güncellemeler Fortinet'te bulunabilir.
Daha fazlası Sophos.com'da
Fortinet Hakkında Fortinet (NASDAQ: FTNT), dünyanın en büyük kuruluşlarının, hizmet sağlayıcılarının ve devlet kurumlarının bazılarının en değerli varlıklarını korur. Müşterilerimize, genişleyen saldırı yüzeyi üzerinde tam görünürlük ve kontrol ile bugün ve gelecekte sürekli artan performans gereksinimlerini karşılama yeteneği sunuyoruz. Yalnızca Fortinet Security Fabric platformu, en kritik güvenlik sorunlarının üstesinden gelebilir ve ağ, uygulama, çoklu bulut veya uç ortamlardaki tüm dijital altyapı genelinde verileri koruyabilir. Fortinet, sevk edilen çoğu güvenlik cihazı arasında 1 numara. 455.000'den fazla müşteri, markalarını korumak için Fortinet'e güveniyor. Hem bir teknoloji şirketi hem de bir eğitim şirketi olan Fortinet Network Security Expert (NSE) Enstitüsü, sektördeki en büyük ve en kapsamlı siber güvenlik eğitim programlarından birine sahiptir. Daha fazla bilgi için www.fortinet.de, Fortinet Blog veya FortiGuard Labs'ı ziyaret edin.