Fortinet vydal několik verzí FortiOS, operačního systému/firmwaru, který pohání její firewally Fortigate a další zařízení, aniž by uvedl, že obsahují opravu chyby CVE-2023-27997, která spočívá v možnosti vzdáleného spuštění kódu (RCE) a ke zneužití nevyžaduje, aby byl útočník přihlášen.
Zranitelnost byla opravena ve verzích FortiOS 7.2.5, 7.0.12, 6.4.13, 6.2.15 a zřejmě také ve verzi 6.0.17 (přestože Fortinet loni oficiálně přestal řadu 6.0 podporovat). Podnikovým administrátorům se proto doporučuje, aby zařízení Fortigate co nejdříve aktualizovali - pokud zranitelnost ještě není zneužívána útočníky, je pravděpodobné, že brzy bude.
Přesná povaha zranitelnosti je v současné době neznámá. Podle společnosti Olympe Cyberdefense Fortinet zveřejní další podrobnosti 13. června 2023 (úterý). Zranitelnost je kritická, ovlivňuje funkce SSL VPN brány Fortigate Firwall a může útočníkovi umožnit "zasahovat prostřednictvím VPN, i když je aktivováno MFA (vícefaktorové ověření)".
Zdroj : NÚKIB, Net Security
video
