9 Maart 2023
Fortinet Unauthenticated Arbitrary Code Execution/DoS Kwetsbaarheden
Fortinet heeft een security advisory voor een unauthenticated arbitrary code execution and denial of service kwetsbaarherid in FortiOS een FortiProxy.
CVE-2023-25610 (CVSS v3: 9.3 – Critical) wordt veroorzaakt door buffer underflow omstandigheden – dat is wanneer een programma probeert meer gegevens te lezen dan er beschikbaar zijn vanaf een specifiek geheugenadres, wat mogelijk kan leiden tot het laden van gevaarlijke instructies of het programma crasht.
In het advies staat dat Fortinet niet op de hoogte is van gevallen van actieve uitbuiting.
Betrokken Producten
- FortiOS versie 7.2.0 througtot en met 7.2.3
- FortiOS versie 7.0.0 tot en met 7.0.9
- FortiOS versie 6.4.0 tot en met 6.4.11
- FortiOS versie 6.2.0 tot en met 6.2.12
- FortiOS 6.0, alle versies
- FortiProxy versie 7.2.0 tot en met 7.2.2
- FortiProxy versie 7.0.0 tot en met 7.0.8
- FortiProxy versie 2.0.0 tot en met 2.0.11
- FortiProxy 1.2, alle versies
- FortiProxy 1.1, alle versies
Alle producten met deze softwareversies worden getroffen door de denial of service-conditie van de kwetsbaarheid. Het Fortinet bulletin bevat een lijst met 50 device modellen die niet zijn getroffen door de kwetsbaarheid voor het uitvoeren van willekeurige code. Als uw apparaat niet op de lijst staat, is het kwetsbaar voor zowel willekeurige code-uitvoering als denial of service.
Security Patches
- FortiOS versie 7.4.0 of hoger
- FortiOS versie 7.2.4 of hoger
- FortiOS versie 7.0.10 of hoger
- FortiOS versie 6.4.12 of hoger
- FortiOS versie 6.2.13 of hoger
- FortiProxy versie 7.2.3 of hoger
- FortiProxy versie 7.0.9 of hoger
- FortiProxy versie 2.0.12 of hoger
- FortiOS-6K7K versie 7.0.10 of hoger
- FortiOS-6K7K versie 6.4.12 of hoger
- FortiOS-6K7K versie 6.2.13 of hoger
Aanbevelingen
Onze aanbeveling is in principe in ieder geval om zo snel mogelijk te patchen. Als het apparaat een getroffen versie uitvoert en aanwezig is in de lijst in de lijst in het bulletin, maar de beheerinterface is uitgeschakeld of beperkt, kan het haalbaar zijn om patches te pushen in het volgende beschikbare tijdvenster.