Sintesi

Rilevate nuove vulnerabilità in alcuni prodotti Fortinet, di cui una con gravità “critica” e 6 con gravità “alta”.

Tipologia

• Arbitrary Code Execution
• Arbitrary File Deletion
• Information Disclosure

Prodotti e versioni affette

FortiClientLinux

• 7.2.x, versione 7.2.0
• 7.0.x, dalla versione7.0.6 alla 7.0.10

FortiSandbox

• 4.4.x, dalla versione 4.4.0 alla 4.4.3
• 4.2.x, dalla versione 4.2.0 alla 4.2.6
• 4.0.x, dalla versione 4.0.0 alla 4.0.4

FortiOS

• 7.4.x, dalla versione 7.4.0 alla 7.4.1
• 7.2.x, dalla versione 7.2.0 alla 7.2.6
• 7.0.x, dalla versione 7.0.0 alla 7.0.12
• 6.4.x, dalla versione 6.4.0 alla 6.4.14
• 6.2.x, dalla versione 6.2.0 alla 6.2.15

• 6.0.x

FortiProxy

• 7.4.x, dalla versione 7.4.0 alla 7.4.1
• 7.2.x, dalla versione 7.2.0 alla 7.2.7
• 7.0.x, dalla versione 7.0.0 alla 7.0.13
• 2.0.x
• 1.2.x
• 1.1.x
• 1.0.x

FortiClientMac

• 7.2.x, dalla versione 7.2.0 alla 7.2.3
• 7.0.x, dalla versione 7.0.6 alla 7.0.10

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni seguendo le indicazioni dei bollettini di sicurezza disponibili nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2023-41677

CVE-2023-45588

CVE-2023-45590

CVE-2024-21755

CVE-2024-21756

CVE-2024-23671

CVE-2024-31492

Riferimenti

https://fortiguard.fortinet.com/psirt/FG-IR-23-087

https://fortiguard.fortinet.com/psirt/FG-IR-23-345

https://fortiguard.fortinet.com/psirt/FG-IR-23-454

https://fortiguard.fortinet.com/psirt/FG-IR-23-489

https://fortiguard.fortinet.com/psirt/FG-IR-23-493

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.