SonicWall je u srijedu pozvao korisnike softvera za upravljanje zaštitnim zidom Globalnog sistema upravljanja (GMS) i alata za izvještavanje o mreži Analytics da primjene najnovije popravke kako bi se zaštitili od skupa od 15 sigurnosnih propusta koje bi haker mogao iskoristiti da zaobiđe autentifikaciju i pristupi osjetljivim informacijama.
Od 15 nedostataka (praćenih od CVE-2023-34123 do CVE-2023-34137), četiri su ocijenjene kritičnom, četiri visokom, a sedam srednjom ozbiljnošću. Propuste je otkrila NCC grupa.
Mane utiču na lokalne verzije GMS 9.3.2-SP1 i ranije i Analytics 2.5.0.4-R7 i ranije. Popravci su dostupni u verzijama GMS 9.3.3 i Analytics 2.5.2.
“Paket ranjivosti omogućava napadaču da vidi podatke koje inače nije u mogućnosti da dohvati” rekao je SonicWall. “Ovo može uključivati podatke koji pripadaju drugim korisnicima ili bilo koje druge podatke kojima sama aplikacija može pristupiti. U mnogim slučajevima, napadač može izmijeniti ili izbrisati ove podatke, uzrokujući stalne promjene sadržaja ili ponašanja aplikacije.”
Lista kritičnih nedostataka je sljedeća:
- CVE-2023-34124 (CVSS rezultat: 9,4) – Zaobilaženje provjere autentičnosti web usluge
- CVE-2023-34133 (CVSS rezultat: 9,8) – Višestruki problemi sa SQL injekcijom bez autentifikacije i zaobilaženje sigurnosnih filtera
- CVE-2023-34134 (CVSS rezultat: 9,8) – Hash lozinke čitanje putem web usluge
- CVE-2023-34137 (CVSS rezultat: 9,4) – Sigurnost aplikacija u Cloud-u (CAS) zaobilaznica autentifikacije
Otkrivanje dolazi kada je Fortinet otkrio kritičnu grešku koja utiče na FortiOS i FortiProxy (CVE-2023-33308, CVSS rezultat: 9,8) koja bi mogla omogućiti protivniku da postigne daljinsko izvršavanje koda pod određenim okolnostima. Rečeno je da je problem riješen u prethodnom izdanju, bez savjetovanja.
Pogođeni proizvodi uključuju FortiOS verzije 7.2.0 do 7.2.3 i 7.0.0 do 7.0.10, kao i FortiProxy verzije od 7.2.0 do 7.2.2 i 7.0.0 do 7.0.9. Verzije koje zatvaraju sigurnosnu rupu su navedene u nastavku:
- FortiOS verzija 7.4.0 ili novija
- FortiOS verzija 7.2.4 ili novija
- FortiOS verzija 7.0.11 ili novija
- FortiProxy verzija 7.2.3 ili novija, i
- FortiProxy verzija 7.0.10 ili novija
Vrijedi napomenuti da mana ne utiče na sve verzije FortiOS 6.0, FortiOS 6.2 i FortiOS 6.4, te FortiProxy 1.x i FortiProxy 2.x.
Za korisnike koji ne mogu odmah primijeniti ažuriranja, Fortinet preporučuje da onemoguće HTTP/2 podršku na SSL inspekcijskim profilima koje koriste proxy politike ili politike zaštitnog zida sa proxy načinom.
Izvor: The Hacker News