SonicWall և Fortinet ցանցային անվտանգության արտադրանքներում նոր խոցելիություններ են բացահայտվել

SonicWall և Fortinet ցանցային անվտանգության արտադրանքներում նոր խոցելիություններ են բացահայտվել

SonicWall-ը Global Management System (GMS) firewall-ի կառավարման և Analytics ցանցի հաճախորդներին կոչ է արել կիրառել վերջին շտկումներն ու թարմացումները՝ անվտանգության 15 խոցելիություններից պաշտպանվելու համար: Դեռևս ակտուալ խոցելիությունները կարող են օգտագործվել հաքերի կողմից՝ նույնականացումը շրջանցելու և կոնֆիդենցիալ տվյալները գողանալու համար:

Ակտուալ խոցելիություններն ազդում են՝ GMS 9.3.2-SP1, Analytics 2.5.0.4-R7-ի և դրանից ցածր տարբերակների վրա: Թարմացումներն ու շտկումները հասանելի են՝ GMS 9.3.3 և Analytics 2.5.2 տարբերակներում:

«Խոցելիության ադրյունքում հարձակվողը կարողանում է ընթերցել այն տվյալները, որոնք անմատչելի են», – նշում է SonicWall-ը:

«Շատ դեպքերում հաքերները կարող են փոփոխել կամ ջնջել այս տվյալները՝ առաջացնելով հավելվածի բովանդակային անճշտություններ և փոփոխություններ»:

Կրիտիկական խոցելիությունների ցանկը հետևյալն է.

  • CVE-2023-34124 (CVSS-ում միավորը՝ 9.4) – Վեբ ծառայության նույնականացման շրջանցում
  • CVE-2023-34133 (CVSS-ում միավորը՝ 9.8) – Բազմաթիվ չվավերացված SQL Injection-երի խնդիրներ և անվտանգության ֆիլտրի շրջանցում
  • CVE-2023-34134 (CVSS-ում միավորը՝ 9.8) – Password Hash Read՝ Web Service-ի միջոցով
  • CVE-2023-34137 (CVSS-ում միավորը՝ 9.4) – Cloud App Security (CAS) վավերացման շրջանցում

Security hole-ը քողարկող տարբերակները ներկայացված են ստորև՝

FortiOS 7.4.0 կամ ավելի բարձր տարբերակը
FortiOS 7.2.4 կամ ավելի բարձր տարբերակը
FortiOS 7.0.11 կամ ավելի բարձր տարբերակը
FortiProxy  7.2.3 կամ ավելի բարձր տարբերակը
FortiProxy 7.0.10 կամ ավելի բարձր տարբերակը

Հարկ է նշել, որ խոցելիությունը չի ազդում՝ FortiOS 6.0, FortiOS 6.2, FortiOS 6.4, FortiProxy 1.x և FortiProxy 2.x-ի բոլոր տարբերակների վրա:

Այն բոլոր հաճախորդները, որոնք դեռևս չեն կարող կատարել անհրաժեշտ թարմացումներ, Fortinet-ը խորհուրդ է տալիս SSL-ի ստուգման պրոֆիլներում անջատել HTTP/2-ի աջակցությունը, որոնք օգտագործվում են proxy ռեժիմով:

 

Աղբյուրը՝ https://thehackernews.com/