CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Fortinet avertizează asupra unei vulnerabilități critice RCE în FortiOS și FortiProxy

19 iulie 2023

https://www.bleepingcomputer.com

Fortinet a dezvăluit o nouă vulnerabilitate critică care afectează FortiOS și FortiProxy, permițând unui atacator de la distanță să execute cod arbitrar pe sistemele vulnerabile.

Vulnerabilitatea, descoperită de specialiștii în securitate cibernetică, este urmărită ca CVE-2023-33308 și a primit un scor CVSS v3 de 9,8/10, având un grad de severitate critic.

O vulnerabilitate de tip stack-based overflow în FortiOS & FortiProxy poate permite unui atacator de la distanță să execute comenzi arbitrare prin intermediul pachetelor malițioase care ajung la politicile proxy sau la politicile de firewall cu modul proxy alături de SSL deep packet inspection.

Versiunile FortiOS afectate sunt:

  • FortiOS versiunea 7.2.0 până la 7.2.3
  • FortiOS versiunea 7.0.0 până la 7.0.10
  • FortiProxy versiunea 7.2.0 până la 7.2.2.2
  • FortiProxy versiunea 7.0.0 până la 7.0.9

Fortinet a precizat că vulnerabilitatea a fost remediată într-o versiunie anterioară, astfel că nu afectează cele mai recente versiuni FortiOS 7.4.

Remedierile pentru CVE-2023-33308 au fost furnizate în următoarele versiuni:

  • FortiOS versiunea 7.2.4 sau mai recentă
  • FortiOS versiunea 7.0.11 sau mai recentă
  • FortiProxy versiunea 7.2.3 sau mai recentă
  • FortiProxy versiunea 7.0.10 sau mai recentă

Avizul Fortinet a clarificat faptul că produsele FortiOS din versiunile 6.0, 6.2, 6.4, 2.x și 1.x nu sunt afectate de CVE-2023-33308.

În cazul în care administratorii nu pot aplica actualizarea de firmware, Fortinet recomandă dezactivarea suportului HTTP/2 pe profilurile de inspecție SSL utilizate de politicile proxy sau de politicile de firewall cu modul proxy ca o modalitate de rezolvare.

O altă vulnerabilitate de tip buffer overflow identificată ca CVE-2023-27997, a evidențiat recent problema întârzierilor de patch-uri.

Utilizatorii și administratorii produselor care rulează FortiOS sunt îndemnați să realizeze actualizări la cele mai recente versiuni de software.

Sursă: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaw-in-fortios-fortiproxy-devices/

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |