مقدمه
شرکت Fortinet برای رفع 15 نقص امنیتی بهروزرسانی امنیتی منتشر نموده است، از جملهی این آسیبپذیریها یک نقص بحرانی است که FortiOS و FortiProxy را تحتتأثیر قرار میدهد و میتواند مهاجم را قادر سازد کنترل دستگاه آسیبپذیر را در دست بگیرد.
جزئیات آسیبپذیری
این آسیبپذیری با شناسهی CVE-2023-25610 و شدت بحرانی (شدت 9.3 از 10)، یک نقص پاریز بافر (buffer underflow)، در رابط مدیریتی محصولات FortiOS و FortiProxy شرکت Fortinet است که به مهاجم احراز هویت نشده اجازه میدهد از راه دور کدهای دلخواه خود را بر روی دستگاه آسیبپذیر اجرا کند و یا از طریق درخواستهای جعلی حملهی DoS را بر روی رابط گرافیکی دستگاه انجام دهد. این نقص زمانی رخ میدهد که برنامهای تلاش میکند تا اطلاعاتی بیشتر از ظرفیت بافر را بخواند و منجر به دسترسی به مکانهای حافظه مجاور شود که رفتار خطرناک یا خرابی تلقی میشود.
به گفتهی Fortinet، در حال حاضر گزارشی در خصوص سوءاستفاده از این نقص دریافت نشده و این آسیبپذیری در فرایند تست و بازبینی امنیتی محصولات توسط خودِ شرکت کشف شده است.
محصولات تحت تأثیر
این آسیبپذیری محصولات زیر را تحت تأثیر قرار میدهد:
FortiOS نسخههای 7.2.0 تا 7.2.3
FortiOS نسخههای 7.0.0 تا 7.0.9
FortiOS نسخههای 6.4.0 تا 6.4.11
FortiOS نسخههای 6.2.0 تا 6.2.12
تمام نسخههای FortiOS 6.0
FortiProxy نسخههای 7.2.0 تا 7.2.2
FortiProxy نسخههای 7.0.0 تا 7.0.8
FortiProxy نسخههای 2.0.0 تا 2.0.12
تمام نسخههای FortiProxy 1.2
تمام نسخههای FortiProxy 1.1
لازم به ذکر است که حتی هنگام اجرای نسخهی آسیبپذیر FortiOS، دستگاههای سختافزاری که در زیر لیست شدهاند فقط تحت تأثیر حملهی DoS هستند و حملهی اجرای کد دلخواه بر روی آنها تأثیرگذار نیست (دستگاههایی که در لیست زیر عنوان نشدهاند تحت تأثیر هر دو حمله هستند):
• FortiGateRugged-100C
• FortiGate-100D
• FortiGate-200C
• FortiGate-200D
• FortiGate-300C
• FortiGate-3600A
• FortiGate-5001FA2
• FortiGate-5002FB2
• FortiGate-60D
• FortiGate-620B
• FortiGate-621B
• FortiGate-60D-POE
• FortiWiFi-60D
• FortiWiFi-60D-POE
• FortiGate-300C-Gen2
• FortiGate-300C-DC-Gen2
• FortiGate-300C-LENC-Gen2
• FortiWiFi-60D-3G4G-VZW
• FortiGate-60DH
• FortiWiFi-60DH
• FortiGateRugged-60D
• FortiGate-VM01-Hyper-V
• FortiGate-VM01-KVM
• FortiWiFi-60D-I
• FortiGate-60D-Gen2
• FortiWiFi-60D-J
• FortiGate-60D-3G4G-VZW
• FortiWifi-60D-Gen2
• FortiWifi-60D-Gen2-J
• FortiWiFi-60D-T
• FortiGateRugged-90D
• FortiWifi-60D-Gen2-U
• FortiGate-50E
• FortiWiFi-50E
• FortiGate-51E
• FortiWiFi-51E
• FortiWiFi-50E-2R
• FortiGate-52E
• FortiGate-40F
• FortiWiFi-40F
• FortiGate-40F-3G4G
• FortiWiFi-40F-3G4G
• FortiGate-40F-3G4G-NA
• FortiGate-40F-3G4G-EA
• FortiGate-40F-3G4G-JP
• FortiWiFi-40F-3G4G-NA
• FortiWiFi-40F-3G4G-EA
• FortiWiFi-40F-3G4G-JP
• FortiGate-40F-Gen2
• FortiWiFi-40F-Gen2
توصیههای امنیتی
به کاربران توصیه میشود محصولات آسیبپذیر خود را به نسخههای اصلاحشدهی زیر بهروزرسانی نمایند:
• ارتقاء FortiOS به نسخهی 7.4.0یا بالاتر
• ارتقاء FortiOS به نسخهی 7.2.4یا بالاتر
• ارتقاء FortiOS به نسخهی 7.0.10یا بالاتر
• ارتقاء FortiOS به نسخهی 6.4.12یا بالاتر
• ارتقاء FortiOS به نسخهی 6.2.13یا بالاتر
• ارتقاء FortiProxy به نسخهی 7.2.3یا بالاتر
• ارتقاء FortiProxy به نسخهی 7.0.9یا بالاتر
• ارتقاء FortiOS-6K7Kبه نسخهی 7.0.10یا بالاتر
• ارتقاء FortiOS-6K7Kبه نسخهی 6.4.12یا بالاتر
• ارتقاء FortiOS-6K7Kبه نسخهی 6.2.13یا بالاتر
در صورتی که در حال حاضر امکان بهروزرسانی محصولات وجود ندارد، اینترفیسHTTP/HTTPS administrative را غیرفعال نموده یا IPهایی که به این اینترفیس دسترسی دارند محدود نمایید. برای این کار میتوانید از دستورات زیر استفاده کنید:
config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end
سپس یک Address Group ایجاد کنید:
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
در این مرحله، یک Local in Policy برای محدود کردن دسترسی به گروه از پیش تعریف شده بر روی اینترفیس مدیریتی ( اینجا پورت 1) ایجاد کنید:
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
اگر از پورتهای پیشفرض استفاده نمیکنید یک سرویس برای دسترسی به GUI administrative ایجاد کنید:
config firewall service custom
edit GUI_HTTPS
set tcp-portrange <admin-sport>
next
edit GUI_HTTP
set tcp-portrange <admin-port>
end
از این سرویس به جای HTTPS HTTP در کدهای بالا قسمت 1 و 2 استفاده کنید.
منابع خبر