在今年 (2023) 6 月時,研究人員發現了 Fortinet 的 FortiOS, FortiOS-6K7K, FortiProxy 等系統,都存在著 SSL-VPN 的重大安全性漏洞[CWE-122]。

惡意人士可以在 Internet 上,利用該漏洞遠端執行任意程式碼或指令,CVSS 分數為 9.8 分,屬 Critical 的重大漏洞。

這個漏洞與2022 年的CVE-2022-42475 類似,也是透過 SSL VPN 的弱點進行攻擊。

受影響的系統版本如下:

FortiOS:7.2.0-7.2.4、7.0.0-7.0.11、6.4.0-6.4.12、6.2.0-6.2.13,以及6.0.0-6.0.16。

FortiOS-6K7K:7.0.10、7.0.5、6.4.12、6.4.10、6.4.8、6.4.6、6.4.2、6.2.9-6.2.13、6.2.6-6.2.7、6.2.4、6.0.12-6.0.16,以及6.0.10。

FortiProxy:7.2.0-7.2.3、7.0.0-7.0.9、2.0.0-2.0.12,以及 1.2和1.1。

建議的解決方案,若無使用 SSL-VPN 功能,請關閉。

或請盡速更新版本:

FortiOS:7.4.0、7.2.5、7.0.12、6.4.13、6.2.14、6.0.17 或更高版本。

FortiOS-6K7K:7.0.12、6.4.13、6.2.15、6.0.17 或更高版本。

FortiProxy:7.2.4、7.0.10、2.0.13 或更高版本。

#PCI #PCI DSS #Compliance

參考資料

https://www.fortiguard.com/psirt/FG-IR-23-097

https://cwe.mitre.org/data/definitions/122.html

https://nvd.nist.gov/vuln/detail/CVE-2023-27997