-
09/04/2020
-
85
-
557 bài viết
Cảnh báo: Lỗ hổng nghiêm trọng ảnh hưởng đến FortiOS/FortiProxy
Fortinet đã thông báo cho khách hàng về 15 lỗ hổng được phát hiện trong các sản phẩm của công ty, bao gồm một lỗ hổng được đánh giá nghiêm trọng. Theo thống kê nhanh của WhiteHat, hiện có hơn 5.000 thiết bị FortiGate kết nối trực tiếp với Internet tại Việt Nam đang bị ảnh hưởng bởi lỗ hổng nguy hiểm này.
Lỗ hổng có mã định danh CVE-2023-25610 (điểm CVSS: 9.3), ảnh hưởng đến giao diện quản trị FortiOS & FortiProxy, cho phép kẻ tấn công từ xa không xác thực thực hiện gửi các yêu cầu HTTP, qua đó gây ra lỗi làm rỗng bộ đệm heap trong giao diện quản trị dẫn đến thực thi mã tùy ý trên hệ thống hoặc tạo điều kiện để tấn công DoS trên GUI.
Theo hãng, hiện chưa ghi nhận bất kỳ cố gắng khai thác nào của hacker trong thực tế. Lỗ hổng ảnh hưởng đến các sản phẩm sau:
Các mẫu thiết bị không được liệt kê trong bản tin bảo mật dễ bị tấn công để thực thi mã từ xa và gây ra tình trạng từ chối dịch vụ. Vì vậy quản trị viên nên áp dụng các bản cập nhật có sẵn càng sớm càng tốt.
Để giải quyết lỗ hổng, quản trị viên nên nâng cấp lên các phiên bản FortiOS 7.4.0, 7.2.4, 7.0.10, 6.4.12, 6.2.13, FortiProxy phiên bản 7.2.3, 7.0.9, 2.0.12 và FortiOS- 6K7K phiên bản 7.0.10, 6.4.12, 6.2.13.
Hãng cũng cung cấp một số giải pháp để giảm thiểu rủi ro của các cuộc tấn công sắp tới, ngay cả khi họ không thể triển khai ngay các bản cập nhật an ninh.
Quản trị viên nên tắt giao diện quản trị HTTP/HTTPS hoặc giới hạn các địa chỉ IP có thể truy cập giao diện quản trị bằng cách sử dụng Local in Policy. Thông tin chi tiết về cách vô hiệu hóa giao diện quản trị tồn tại lỗ hổng cho FortiOS và FortiProxy hoặc giới hạn quyền truy cập trên mỗi địa chỉ IP có thể được tìm thấy trong Fortinet PSIRT.
Tuy Fortinet chưa tiết lộ nhiều thông tin về lỗ hổng nhưng các chuyên gia của WhiteHat nhận định các sản phẩm tưởng lửa của Fortinet nằm ở lớp mạng biên, giao tiếp trực tiếp với Internet nên mở ra bề mặt tấn công lớn cho tin tặc. Nếu quản trị viên cấu hình để public trang quản trị của những sản phẩm này sẽ tạo ra “con đường” để truy cập vào những hệ thống nội bộ.
Lỗ hổng có mã định danh CVE-2023-25610 (điểm CVSS: 9.3), ảnh hưởng đến giao diện quản trị FortiOS & FortiProxy, cho phép kẻ tấn công từ xa không xác thực thực hiện gửi các yêu cầu HTTP, qua đó gây ra lỗi làm rỗng bộ đệm heap trong giao diện quản trị dẫn đến thực thi mã tùy ý trên hệ thống hoặc tạo điều kiện để tấn công DoS trên GUI.
Theo hãng, hiện chưa ghi nhận bất kỳ cố gắng khai thác nào của hacker trong thực tế. Lỗ hổng ảnh hưởng đến các sản phẩm sau:
- FortiOS phiên bản 7.2.0 đến 7.2.3
- FortiOS phiên bản 7.0.0 đến 7.0.9
- FortiOS phiên bản 6.4.0 đến 6.4.11
- FortiOS phiên bản 6.2.0 đến 6.2.12
- FortiOS 6.0 tất cả các phiên bản
- FortiProxy phiên bản 7.2.0 đến 7.2.2
- FortiProxy phiên bản 7.0.0 đến 7.0.8
- FortiProxy phiên bản 2.0.0 đến 2.0.11
- FortiProxy 1.2 tất cả các phiên bản
- FortiProxy 1.1 tất cả các phiên bản
Các mẫu thiết bị không được liệt kê trong bản tin bảo mật dễ bị tấn công để thực thi mã từ xa và gây ra tình trạng từ chối dịch vụ. Vì vậy quản trị viên nên áp dụng các bản cập nhật có sẵn càng sớm càng tốt.
Để giải quyết lỗ hổng, quản trị viên nên nâng cấp lên các phiên bản FortiOS 7.4.0, 7.2.4, 7.0.10, 6.4.12, 6.2.13, FortiProxy phiên bản 7.2.3, 7.0.9, 2.0.12 và FortiOS- 6K7K phiên bản 7.0.10, 6.4.12, 6.2.13.
Hãng cũng cung cấp một số giải pháp để giảm thiểu rủi ro của các cuộc tấn công sắp tới, ngay cả khi họ không thể triển khai ngay các bản cập nhật an ninh.
Quản trị viên nên tắt giao diện quản trị HTTP/HTTPS hoặc giới hạn các địa chỉ IP có thể truy cập giao diện quản trị bằng cách sử dụng Local in Policy. Thông tin chi tiết về cách vô hiệu hóa giao diện quản trị tồn tại lỗ hổng cho FortiOS và FortiProxy hoặc giới hạn quyền truy cập trên mỗi địa chỉ IP có thể được tìm thấy trong Fortinet PSIRT.
Tuy Fortinet chưa tiết lộ nhiều thông tin về lỗ hổng nhưng các chuyên gia của WhiteHat nhận định các sản phẩm tưởng lửa của Fortinet nằm ở lớp mạng biên, giao tiếp trực tiếp với Internet nên mở ra bề mặt tấn công lớn cho tin tặc. Nếu quản trị viên cấu hình để public trang quản trị của những sản phẩm này sẽ tạo ra “con đường” để truy cập vào những hệ thống nội bộ.
Theo: WhiteHat, Tổng hợp