ГлавнаяБаза уязвимостей БДУ → BDU:2023-01148
10критическая

BDU:2023-01148

Уязвимость веб-интерфейса управления операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-03-09
Описание

Уязвимость веб-интерфейса управления операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy связана с возможностью переполнения буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
FortiProxy (от 2.0.0 до 2.0.11 включительно)FortiOS (от 6.2.0 до 6.2.12 включительно)FortiOS (от 6.4.0 до 6.4.11 включительно)FortiOS (от 7.2.0 до 7.2.3 включительно)FortiOS (от 7.0.0 до 7.0.9 включительно)FortiProxy (от 7.2.0 до 7.2.2 включительно)FortiProxy (от 7.0.0 до 7.0.8 включительно)FortiOS-6K7K (до 7.0.10)FortiOS-6K7K (до 6.4.12)FortiOS-6K7K (до 6.2.13)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение административного интерфейса (HTTP/HTTPS);
- внедрение механизма «белых» списков IP-адресов:
1. Для ограничения доступа к административному интерфейсу:
config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end
2. Создание разрешённой группы адресов
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
3. Создание локальной политики для ограничения доступа только предопределенной группой к интерфейсу управления (здесь: Port1):
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
4. При использовании портов по умолчанию создание соответствующего объекта службы для административного доступа GUI:
config firewall service custom
edit GUI_HTTPS
set tcp-portrange <admin-sport>
next

edit GUI_HTTP
set tcp-portrange <admin-port>
end

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-23-001

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.fortiguard.com/psirt/FG-IR-23-001
Проверьте безопасность своего сайта и почты → Полная проверка домена