១. ព័ត៌មានទូទៅ
ក្រុមហ៊ុន Fortinet បានចេញសេចក្តីណែនាំសន្តិសុខអំពីការអាប់ដេតទៅលើចំណុចដែលងាយរងគ្រោះដើម្បីជួសជុលបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ជាច្រើន មានក្នុងផលិតផលរបស់ខ្លួន នាខែមេសា ឆ្នាំ២០២៣ ដែលមានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរបំផុតហើយទាមទារឱ្យមានការយកចិត្តទុកដាក់ និងមានវិធានការធ្វើការអាប់ដេតជាបន្ទាន់។
២.ផលិតផលដែលរងផលប៉ះពាល់
- – FortiSOAR – Server-side Template Injection in playbook execution
- – FortiClient (Mac) – update functionality may lead to privilege escalation vulnerability
- – FortiNAC – Report disclosure to unauthenticated users
- – FortiADC & FortiDDoS & FortiDDoS-F – Command injection in log & report module
- – FortiClient (Windows) – Arbitrary file creation from unprivileged users due to process impersonation
- – FortiClientWindows – Arbitrary file creation by unprivileged users
- – FortiPresence – Unpassworded remotely accessible Redis & MongoDB
- – FortiWeb & FortiADC – OS command injection in CLI
- – FortiOS & FortiProxy – Open redirect in sslvpnd
- – FortiAnalyzer – Improper input validation in custom dataset
- – FortiADC – Cross-Site Scripting in Fabric Connectors
- – FortiWeb – XSS vulnerability in HTML generated attack report files
- – FortiClient (Windows) – Improper write access over FortiClient pipe object
- – FortiNAC – Multiple privilege escalation via sudo command
- – FortiSandbox / FortiDeceptor – Improper profile-based access control over APIs
- – FortiOS & FortiProxy – Cross Site Scripting vulnerabilities in administrative interface
- – FortiOS & FortiProxy – Anti brute-force bypass in administrative interface
- – FortiSandbox – SQL injection in certificate downloading feature
- – FortiAnalyzer & FortiManager – Lack of client-side certificate validation when establishing secure connections with FortiGuard to download outbreakalert
- – FortiGate – Policy-based NGFW SSL VPN mode doesn’t filter accesses via Bookmarks
- – FortiAuthenticator – Reflected XSS in the password reset page
៣. ផលប៉ៈពាល់
ការវាយលុកដោយជោគជ័យ និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយ ដើម្បីធ្វើការគ្រប់គ្រងទាំងស្រុងទៅលើប្រព័ន្ធ FortiOS។
៤. ដំណោះស្រាយ
អ្នកប្រើប្រាស់ និងអភិបាលគ្រប់គ្រង ត្រូវធ្វើការអាប់ដេតទៅកាន់កំណែចុងក្រោយ ជាបន្ទាន់តាមដែលអាចធ្វើទៅបាន។
៥. ឯកសារពាក់ព័ន្ធ
- – https://www.cisa.gov/news-events/alerts/2023/04/11/fortinet-releases-april-2023-vulnerability-advisories
- – https://www.fortiguard.com/psirt-monthly-advisory/april-2023-vulnerability-advisories
