ГлавнаяБаза уязвимостей БДУ → BDU:2022-02333
8.3высокая

BDU:2022-02333

Уязвимость процедуры проверки прошивки операционных систем FortiOS. межсетевого экрана веб-приложений FortiWeb, Ethernet-коммутаторов FortiSwitch и прокси-сервера FortiProxy, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-15
Описание

Уязвимость процедуры проверки прошивки операционных систем FortiOS, межсетевого экрана веб-приложений FortiWeb, Ethernet-коммутаторов FortiSwitch и прокси-сервера FortiProxy связана с нарушением начальной границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного образа прошивки

Затрагиваемое ПО и версии
FortiOS (от 6.2.0 до 6.2.9 включительно)FortiSwitch (от 6.0.0 до 6.0.7 включительно)FortiProxy (от 1.2.0 до 1.2.13 включительно)FortiProxy (от 1.1.0 до 1.1.6 включительно)FortiProxy (от 1.0.0 до 1.0.7 включительно)FortiOS (от 5.6.0 до 5.6.14 включительно)FortiOS (7.0.0)FortiProxy (7.0.0)FortiOS (от 6.4.0 до 6.4.6 включительно)FortiProxy (от 2.0.0 до 2.0.7 включительно)FortiWeb (от 6.3.0 до 6.3.15 включительно)FortiOS (от 5.4.0 до 5.4.13 включительно)FortiOS (от 5.2.0 до 5.2.15 включительно)FortiOS (от 5.0.0 до 5.0.14 включительно)FortiOS (от 6.0.0 до 6.0.13 включительно)FortiProxy (7.0.1)FortiWeb (от 5.8.0 до 5.8.3 включительно)FortiWeb (от 5.8.5 до 5.8.7 включительно)FortiWeb (от 5.7.0 до 5.7.3 включительно)FortiWeb (от 5.6.0 до 5.6.2 включительно)FortiWeb (от 5.5.0 до 5.5.7 включительно)FortiWeb (5.4.1)FortiWeb (5.4.0)FortiWeb (от 5.3.0 до 5.3.9 включительно)FortiWeb (от 6.0.0 до 6.0.7 включительно)FortiWeb (от 6.1.0 до 6.1.2 включительно)FortiWeb (от 6.2.0 до 6.2.7 включительно)FortiWeb (6.4.1)FortiWeb (6.4.0)FortiSwitch (от 6.2.0 до 6.2.7 включительно)
Способ устранения

Для сертифицированных ПАК «FortiGate»
Эксплуатация уязвимости невозможна, т.к. установка сертифицированной версии FortiOS осуществляется производителем на АРМ, не имеющих возможности доступа из-за пределов ЛВС производства.

Для несертифицированных ПАК «FortiGate»
Использование рекомендаций производителя:
https://fortiguard.com/advisory/FG-IR-21-046

Оценка CVSS
Балл8.3 — высокая опасность
Источники и патчи
https://www.fortiguard.com/psirt/FG-IR-21-046https://www.cybersecurity-help.cz/vdb/SB2021080313https://vuldb.com/fr/?id.180129
Проверьте безопасность своего сайта и почты → Полная проверка домена