2022年10月11日
近日,國家信息安全漏洞庫(CNNVD)收到關于Fortinet FortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684)情況的報送。成功利用漏洞的攻擊者,可在未經身份驗證的情況下獲得對管理界面的訪問權限,從而最終控制目標系統。Fortinet FortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多個版本均受此漏洞影響。目前,Fortinet官方已發布升級補丁修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。
一、漏洞介紹
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。Fortinet FortiOS存在安全漏洞,該漏洞允許未經身份驗證的攻擊者獲得對管理界面的訪問權限,并通過特制的HTTP或HTTPS請求執行任意操作,從而最終控制目標系統。
二、危害影響
成功利用漏洞的攻擊者,可在未經身份驗證的情況下獲得對管理界面的訪問權限,從而最終控制目標系統。Fortinet FortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多個版本均受此漏洞影響。
三、修復建議
目前,Fortinet官方已發布升級補丁修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。官方補丁鏈接如下:
https://docs.fortinet.com/product/fortigate/7.2
本通報由CNNVD技術支撐單位——深圳融安網絡科技有限公司、北京數字觀星科技有限公司、奇安信網神信息技術(北京)股份有限公司、北京華順信安科技有限公司等技術支撐單位提供支持。
文章來源:CNNVD安全動態