國家漏洞庫CNNVD:關于Fortinet FortiOS安全漏洞情況的通報
2022年10月11日
近日���,國家信息安全漏洞庫(CNNVD)收到關于Fortinet FortiOS 安全漏洞(CNNVD-202210-347�����、CVE-2022-40684)情況的報送�����。成功利用漏洞的攻擊者��,可在未經(jīng)身份驗證的情況下獲得對管理界面的訪問權限����,從而最終控制目標系統(tǒng)。Fortinet FortiOS 7.0.0版至7.0.6版�����、7.2.0版至7.2.1版����、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多個版本均受此漏洞影響���。目前�,F(xiàn)ortinet官方已發(fā)布升級補丁修復了該漏洞,建議用戶及時確認產(chǎn)品版本����,盡快采取修補措施。
一��、漏洞介紹
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網(wǎng)絡安全平臺上的安全操作系統(tǒng)�����。該系統(tǒng)為用戶提供防火墻�、防病毒、IPSec/SSLVPN�����、Web內(nèi)容過濾和反垃圾郵件等多種安全功能�����。Fortinet FortiOS存在安全漏洞���,該漏洞允許未經(jīng)身份驗證的攻擊者獲得對管理界面的訪問權限,并通過特制的HTTP或HTTPS請求執(zhí)行任意操作���,從而最終控制目標系統(tǒng)���。
二��、危害影響
成功利用漏洞的攻擊者����,可在未經(jīng)身份驗證的情況下獲得對管理界面的訪問權限�����,從而最終控制目標系統(tǒng)���。Fortinet FortiOS 7.0.0版至7.0.6版����、7.2.0版至7.2.1版����、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多個版本均受此漏洞影響�。
三、修復建議
目前,F(xiàn)ortinet官方已發(fā)布升級補丁修復了該漏洞����,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施���。官方補丁鏈接如下:
https://docs.fortinet.com/product/fortigate/7.2
本通報由CNNVD技術支撐單位——深圳融安網(wǎng)絡科技有限公司�����、北京數(shù)字觀星科技有限公司����、奇安信網(wǎng)神信息技術(北京)股份有限公司���、北京華順信安科技有限公司等技術支撐單位提供支持���。
文章來源:CNNVD安全動態(tài)
