Fortinet oznámil záplaty viacerých zraniteľností vo FortiOS a ďalších produktoch, vrátane niekoľkých chýb vedúcich k spusteniu kódu.
Najzávažnejším problémom je CVE-2024-23110 (skóre CVSS 7,4), ktorý spoločne sleduje viaceré bezpečnostné chyby pretečenia vyrovnávacej pamäte založené na zásobníku v príkazovom riadka platformy.
Úspešné využitie tejto veľmi závažnej chyby, vysvetľuje Fortinet, „môže umožniť overenému útočníkovi spustiť neoprávnený kód alebo príkazy prostredníctvom špeciálne vytvorených argumentov príkazového riadka“.
Chyba ovplyvňuje FortiOS verzie 6.xa 7.x a bola vyriešená vydaním FortiOS 6.2.16, 6.4.15, 7.0.14, 7.2.7 a 7.4.3.
Ďalšiu stredne závažnú zraniteľnosť založenú na pretečení zásobníka, sledovanú ako CVE-2024-26010 a ovplyvňujúcu FortiOS, FortiProxy, FortiPAM a FortiSwitchManager, môžu vzdialení útočníci zneužiť na spustenie ľubovoľného kódu alebo príkazov, ak sú splnené špecifické podmienky.
Fortinet tiež varoval pred viacerými stredne závažnými zraniteľnosťami pretečenia vyrovnávacej pamäte na báze zásobníka (súhrnne sledované ako CVE-2023-46720) vo FortiOS, ktoré by mohli byť zneužité na spustenie ľubovoľného kódu prostredníctvom vytvorených príkazov CLI.
Ďalšie informácie je možné nájsť na stránkach:
https://www.securityweek.com/fortinet-patches-code-execution-vulnerability-in-fortios
https://www.fortiguard.com/psirt/FG-IR-24-036
https://debricked.com/vulnerability-database/vulnerability/CVE-2024-26010