هشدارهای افتایی
در دو ماه اخیر، شرکت فورتی‌نت (Fortinet, Inc) با انتشار به‌روزرسانی، 10 آسیب‌پذیری را در چند محصول خود ترمیم کرده است.
به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت fortiguard، این به‌روزرسانی‌ها، دامنه گسترده‌ای از ضعف‌های امنیتی نظیر "اجرای کد به‌صورت از راه دور" (Remote Code Execution)، "تزریق SQL" و "از کاراندازی سرویس" (Denial of Service  - به اختصار DoS) را برطرف می‌کنند.
فهرست محصولات مشمول این به‌روزرسانی‌ها به‌شرح زیر است:
FortiDeceptor
FortiGate
FortiIsolator
FortiProxy
FortiWeb
عمر برخی از آسیب‌پذیری‌های ترمیم شده توسط این به روزرسانی‌ها به سال 2018 برمی‌گردد. برای مثال می‌توان به CVE-2018-13381 اشاره کرد که مهاجم را به اجرای حمله DoS بر ضد FortiProxy SSL VPN، تنها با ارسال یک درخواست دستکاری شده POST قادرمی‌کند. بهره‌جویی (Exploit) از CVE-2018-13381 به‌صورت از راه دور و بدون نیاز به هر گونه اصالت‌سنجی ممکن گزارش شده است.
یا CVE-2018-13383 که سوءاستفاده از آن با ارسال یک صفحه وب حاوی کدهای مخرب JavaScript به FortiOS SSL VPN امکان بروز DoS و اجرای کد به‌صورت از راه دور را برای مهاجم فراهم می‌کند. 
از دیگر آسیب‌پذیری‌های بااهمیت ترمیم‌شده توسط به‌روزرسانی‌های اخیر فورتی‌نت می‌توان به موارد زیر اشاره کرد:
  •     CVE-2020-29015: ضعفی از نوع تزریق SQL در رابط کاربری FortiWeb که بهره‌جویی از آن از طریق ارسال یک درخواست با سرایند Authorization حاوی داده مخرب، مهاجم را قادر به اجرای پرس‌وجو (Query) یا فرامین SQL به‌صورت از راه دور می‌کند.
  •     CVE-2020-29016: باگی از نوع Stack-based Buffer Overflow در FortiWeb که مهاجم را قادر به رونویسی محتوای Stack و به‌طور بالقوه اجرای کد می‌کند.
لازم به ذکر است عیلرغم آن‌که فورتی‌نت به برخی آسیب‌پذیری‌های مذکور از جمله CVE-2020-29015 شدت حساسیت "متوسط" (Medium) را تخصیص داده اما مؤسسه NVD شدت آنها را "حیاتی" (Critical) گزارش کرده است. برای مثال، در سایت NVD، شدت حساسیت CVE-2020-29015 مقدار 9.8 از 10 اعلام شده اما در مقابل در توصیه‌نامه فورتی‌نت، مقدار 6.4 ثبت شده است. دلیل این اختلاف، جدیدتر بودن نسخه استاندارد CVSS (نسخه 3.1) مورد استفاده NVD در مقایسه با نسخه CVSS مورد استناد فورتی‌نت (نسخه 3) است. لذا توصیه می‌شود در اولویت‌بندی اعمال به‌روزرسانی‌ها و ارزیابی ریسک، صرفاً به توصیه‌نامه‌های فورتی‌نت اکتفا نشود.
توصیه‌نامه‌های فورتی‌نت در لینک‌های زیر قابل دریافت و مطالعه است:
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.