Уразливість переповнення стеку в FortiProxy дозволяє віддалене виконання коду

Критична уразливість переповнення стеку в FortiProxy та FortiOS дозволяє віддалене виконання коду. Рекомендується термінове оновлення та моніторинг безпеки.
CVE-2023-33308CVSS 9.8Firewall

Уразливість переповнення стеку в FortiProxy дозволяє віддалене виконання коду

Критична уразливість переповнення стеку в FortiProxy та FortiOS дозволяє віддалене виконання коду. Рекомендується термінове оновлення та моніторинг безпеки.

CVSS
9.8 CRITICAL
EPSS
76.86%
Активно використовується
немає в KEV
Продукт
fortiproxy

Що відомо

Виявлено критичну уразливість переповнення стеку в Fortinet FortiOS (7.0.0–7.0.10, 7.2.0–7.2.3) та FortiProxy (7.0.0–7.0.9, 7.2.0–7.2.2), що дозволяє віддаленому неавторизованому зловмиснику виконувати довільний код через спеціально сформовані пакети, які проходять через проксі або фаєрвол політики з увімкненим глибоким або повним інспектуванням пакетів.

Бізнес-вплив

Ця уразливість має критичний рівень загрози (CVSS 9.8) і може призвести до повного компрометування пристроїв FortiProxy та FortiOS, що використовуються для захисту мережі. Віддалене виконання коду без автентифікації ставить під загрозу цілісність і доступність мережевої інфраструктури, що може призвести до витоку даних або порушення роботи бізнес-процесів.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно перевірити наявність оновлень безпеки від Fortinet для відповідних версій FortiOS та FortiProxy і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до пристроїв, зменшити експозицію сервісів, увімкнути детальний моніторинг та аналіз логів на предмет підозрілої активності, а також пріоритезувати швидке впровадження патчів після їх виходу.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки