CISA adaugă o vulnerabilitate Fortinet FortiOS la catalogul de vulnerabilități exploatate cunoscute
https://thehackernews.com
Agenția pentru Securitate Cibernetică și Infrastructură (CISA) a Statelor Unite a adăugat o vulnerabilitate de tip Out-of-Bound write presentă în cadrul Fortinet FortiOS, în catalogul de Vulnerabilități Exploatate Cunoscute (KEV).
Identificată ca și CVE-2024-21762 (scor CVSS 9.6), vulnerabilitatea poate permite executarea de cod de la distanță în FortiOS SSL VPN și este exploatată activ .
Vulnerabilitatea poate fi exploatată prin trimiterea de cereri HTTP malițioase către instanțele vulnerabile. Producătorul recomandă dezactivarea SSL VPN ca măsură temporară (dezactivarea modului web nu este o măsură temporară validă).
În tabelul de mai jos se regăsește lista versiunilor afectate și versiunile disponibile care remediază vulnerabilitatea.
| Versiune | Afectată | Soluție |
| FortiOS 7.6 | Nu este afectată | Nu este aplicabil |
| FortiOS 7.4 | 7.4.0 până la 7.4.2 | Actualizare la 7.4.3 sau mai nouă |
| FortiOS 7.2 | 7.2.0 până la 7.2.6 | Actualizare la 7.2.7 sau mai nouă |
| FortiOS 7.0 | 7.0.0 până la 7.0.13 | Actualizare la 7.0.14 sau mai nouă |
| FortiOS 6.4 | 6.4.0 până la 6.4.14 | Actualizare la 6.4.15 sau mai nouă |
| FortiOS 6.2 | 6.2.0 până la 6.2.15 | Actualizare la 6.2.16 sau mai nouă |
| FortiOS 6.0 | Toate versiunile 6.0 | Migrare la o versiune remediată |
Sursa: https://securityaffairs.com/158955/hacking/cisa-fortinet-fortios-bug-known-exploited-vulnerabilities-catalog.html
