December 18, 2024

Language:

CamSA23-09: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតនៅក្នុងផលិតផលក្រុមហ៊ុន Fortinet

១. ព័ត៌មានទូទៅ

ក្រុមហ៊ុន Fortinet បានចេញសេចក្តីណែនាំសន្តិសុខអំពីការអាប់ដេតទៅលើចំណុចដែលងាយរងគ្រោះដើម្បីជួសជុលបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ជាច្រើនមានក្នុងផលិតផលរបស់ខ្លួននា ខែមីនា ឆ្នាំ២០២៣ ដែលមានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរបំផុតហើយទាមទារឱ្យមានការយកចិត្តទុកដាក់ និងមានវិធានការធ្វើការអាប់ដេតជាបន្ទាន់។

២.ផលិតផលដែលរងផលប៉ះពាល់

  • –    FortiOS & FortiProxy – Access of NULL pointer in SSLVPNd
  • –    FortiOS / FortiProxy – Path traversal vulnerability allows VDOM escaping
  • –    FortiAuthenticator, FortiDeceptor & FortiMail – Improper restriction over excessive authentication attempts
  • –    FortiOS / FortiProxy – Unauthenticated access to static files containing logging information
  • –    FortiOS / FortiProxy – Heap buffer underflow in administrative interface
  • –    FortiSOAR – Improper Authorization in request headers
  • –    FortiAnalyzer – CSV injection in macro name
  • –    FortiWeb – command injection in webserver
  • –    FortiRecorder – DoS in login authentication mechanism
  • –    FortiAnalyzer — the log-fetch client request password is shown in clear text in the heartbeat response
  • –    FortiWeb and FortiRecorder – Arbitrary file read through command line pipe
  • –    FortiOS – Path traversal in execute command
  • –    FortiNAC – Multiple Reflected XSS
  • –    FortiNAC – Multiple privilege escalation via sudo command
  • –    FortiManager, FortiAnalyzer, FortiPortal & FortiSwitch – Information disclosure through diagnose debug commands

៣. ផលប៉ៈពាល់

ការវាយលុកដោយជោគជ័យ និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយ ដើម្បីធ្វើការគ្រប់គ្រងទាំងស្រុង​ទៅ​លើប្រព័ន្ធ FortiOS។

៤. ដំណោះស្រាយ

អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រង ត្រូវធ្វើការអាប់ដេតទៅកាន់កំណែចុងក្រោយ ជាបន្ទាន់តាមដែលអាចធ្វើទៅបាន។

៥. ឯកសារពាក់ព័ន្ធ

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.