bencede
New member
Fortinet, Mart yama gününde şirketin ağ ürünlerindeki 15 güvenlik açığını düzeltir. Hatta bunlardan biri geliştiriciler tarafından kritik olarak kabul ediliyor. BT yöneticileri güncellemeleri hemen indirip yüklemelidir. Fortinet geliştiricileri, kritik güvenlik açığına ek olarak beş güvenlik açığını Yüksek Risk, sekiz güvenlik açığını Orta Tehdit ve bir güvenlik açığını Düşük Tehdit olarak derecelendiriyor. Çok sayıda ürün ve sürüm etkilenir.
Fortinet: FortiOS ve FortiProxy’de kritik güvenlik açığı
Web saldırganları, güvenlik açığı bulunan cihazlarda önceden kimlik doğrulaması olmadan rasgele kod yürütebilir. Kullanıcı arabirimine karşı bir hizmet reddi (DoS) de mümkündür. Bunun için özel hazırlanmış istekler yeterlidir. Güvenlik danışma belgesinde Fortinet, listelenen cihazların bir kısmının yalnızca DoS saldırılarına karşı savunmasız olduğuna dikkat çekiyor (CVE-2023-25610, CVSS 9.3risk”eleştirmen“). İşletim sisteminin farklı dallarında hatasız güncellenmiş yazılım sürümleri Güçlü İşletim Sistemi 7.4.0 (şimdiye kadar görünüşe göre hala beta durumunda), 7.2.4, 7.0.10, 6.4.12 VE 6.2.13, FortiProxy 7.2.3, 7.0.9 VE 2.0.12 birlikte FortiOS-6K7K 7.0.10, 6.4.12 VE 6.2.13. Şirket ayrıca geçici karşı önlemleri de raporda açıklıyor.
Yüksek riskli güvenlik açıkları FortiNAC’ta bulunur (CVE-2022-39953, CVSS 7.8, yüksek; CVE-2022-40676, CVSS 7.1, yüksek), FortiOS ve FortiProxy (CVE-2022-42476, CVSS 7.8, yüksek), FortiSOAR (CVE-2023-25605, CVSS 7.5, yüksek) ve FortiWeb (CVE-2022-39951, CVSS) 7.2, yüksek). FortiRecorder’da Orta Derece Riskli Güvenlik Açığı (CVE-2022-41333, CVSS) 6.8, yarım), FortiOS (CVE-2022-41328, CVSS 6.5, yarım), FortiOS ve FortiProxy (CVE-2022-45861, CVSS 6.4, yarım; CVE-2022-41329, CVSS 5.2, yarım), FortiWeb ve FortiRecorder (CVE-2022-22297, CVSS 5.2, yarım), FortiAnalyzer, FortiManager, FortiPortal ve FortiSwitch (CVE-2022-27490, CVSS) 5.1, yarım) ve FortiAnalyzer’da (CVE-2023-23776, CVSS 4.6, yarım; CVE-2023-25611, CVSS 4.0, yarımDüşük riskli olarak sınıflandırılan güvenlik açığı FortiAuthenticator, FortiDeceptor ve FortiMail’de (CVE-2022-29056, CVSS) bulunuyor. 3.5, Bas).
Yama gününe genel bakış
Üretici, bireysel güvenlik açığı raporlarını Fortinet’in PSIRT web sitesinde listeler. Orada ayrıca etkilenen yazılım sürümleri hakkında ayrıntılar ve hemen bir güncelleme mümkün değilse boşluk riskini sınırlamak için bazı geçici çözümler bulacaksınız.
Hatta Fortinet, Şubat yama gününe kadar 40 güvenlik açığı kapatmak zorunda kaldı. Bunlardan ikisi kritik kabul edildi. Siber güvenlik firması Horizon3, bunlardan biri için bir PoC istismarı yayınlamıştı. Fortinet’in yaygın olarak kullanılan ağ ürünlerindeki güvenlik açıkları genellikle siber suçlular tarafından hızlı bir şekilde saldırıya uğradığından, BT liderleri boşlukları kapatmak için güncellemeleri hızla uygulamalıdır.
(dmk)
Haberin Sonu
Fortinet: FortiOS ve FortiProxy’de kritik güvenlik açığı
Web saldırganları, güvenlik açığı bulunan cihazlarda önceden kimlik doğrulaması olmadan rasgele kod yürütebilir. Kullanıcı arabirimine karşı bir hizmet reddi (DoS) de mümkündür. Bunun için özel hazırlanmış istekler yeterlidir. Güvenlik danışma belgesinde Fortinet, listelenen cihazların bir kısmının yalnızca DoS saldırılarına karşı savunmasız olduğuna dikkat çekiyor (CVE-2023-25610, CVSS 9.3risk”eleştirmen“). İşletim sisteminin farklı dallarında hatasız güncellenmiş yazılım sürümleri Güçlü İşletim Sistemi 7.4.0 (şimdiye kadar görünüşe göre hala beta durumunda), 7.2.4, 7.0.10, 6.4.12 VE 6.2.13, FortiProxy 7.2.3, 7.0.9 VE 2.0.12 birlikte FortiOS-6K7K 7.0.10, 6.4.12 VE 6.2.13. Şirket ayrıca geçici karşı önlemleri de raporda açıklıyor.
Yüksek riskli güvenlik açıkları FortiNAC’ta bulunur (CVE-2022-39953, CVSS 7.8, yüksek; CVE-2022-40676, CVSS 7.1, yüksek), FortiOS ve FortiProxy (CVE-2022-42476, CVSS 7.8, yüksek), FortiSOAR (CVE-2023-25605, CVSS 7.5, yüksek) ve FortiWeb (CVE-2022-39951, CVSS) 7.2, yüksek). FortiRecorder’da Orta Derece Riskli Güvenlik Açığı (CVE-2022-41333, CVSS) 6.8, yarım), FortiOS (CVE-2022-41328, CVSS 6.5, yarım), FortiOS ve FortiProxy (CVE-2022-45861, CVSS 6.4, yarım; CVE-2022-41329, CVSS 5.2, yarım), FortiWeb ve FortiRecorder (CVE-2022-22297, CVSS 5.2, yarım), FortiAnalyzer, FortiManager, FortiPortal ve FortiSwitch (CVE-2022-27490, CVSS) 5.1, yarım) ve FortiAnalyzer’da (CVE-2023-23776, CVSS 4.6, yarım; CVE-2023-25611, CVSS 4.0, yarımDüşük riskli olarak sınıflandırılan güvenlik açığı FortiAuthenticator, FortiDeceptor ve FortiMail’de (CVE-2022-29056, CVSS) bulunuyor. 3.5, Bas).
Yama gününe genel bakış
Üretici, bireysel güvenlik açığı raporlarını Fortinet’in PSIRT web sitesinde listeler. Orada ayrıca etkilenen yazılım sürümleri hakkında ayrıntılar ve hemen bir güncelleme mümkün değilse boşluk riskini sınırlamak için bazı geçici çözümler bulacaksınız.
Hatta Fortinet, Şubat yama gününe kadar 40 güvenlik açığı kapatmak zorunda kaldı. Bunlardan ikisi kritik kabul edildi. Siber güvenlik firması Horizon3, bunlardan biri için bir PoC istismarı yayınlamıştı. Fortinet’in yaygın olarak kullanılan ağ ürünlerindeki güvenlik açıkları genellikle siber suçlular tarafından hızlı bir şekilde saldırıya uğradığından, BT liderleri boşlukları kapatmak için güncellemeleri hızla uygulamalıdır.
(dmk)
Haberin Sonu