Aggiornamenti di sicurezza Fortinet (AL03/250115/CSIRT-ITA)

Data:
15 Gennaio 2025 12:03

Sintesi

Rilevate nuove vulnerabilità in vari prodotti, di cui 14 con gravità “alta” e 2 con gravità “critica”. Tali vulnerabilità potrebbero permettere il bypass dei meccanismi di sicurezza, l’esecuzione di comandi arbitrari e la possibilità di elevare i privilegi utente sui sistemi interessati.

Tipologia

Arbitrary Code Execution
Denial of Service
Privilege Escalation
Security Restrictions Bypass

Prodotti e versioni affette

FortiSOAR 7.4.x, dalla versione 7.4.0 alla 7.4.1
FortiSOAR 7.3.x, dalla versione 7.3.0 alla 7.3.2
FortiSOAR 7.2.x, dalla versione 7.2.1 alla 7.2.2
FortiSwitch 7.4.0
FortiSwitch 7.2.x, dalla versione 7.2.0 alla 7.2.5
FortiSwitch 7.0.x, dalla versione 7.0.0 alla 7.0.7
FortiSwitch 6.4.x, dalla versione 6.4.0 alla 6.4.13
FortiSwitch 6.2.x, dalla versione 6.2.0 alla 6.2.7
FortiSwitch 6.0.x, dalla versione 6.0.0 alla 6.0.7
FortiClientEMS 7.2.x, dalla versione 7.2.0 alla 7.2.3
FortiClientEMS 7.0.x, dalla versione 7.0.0 alla 7.0.10
FortiClientEMS 6.4.x
FortiClientEMS 6.2.x
FortiManager 7.4.x, dalla versione 7.4.1 alla 7.4.3
FortiManager 7.4.0
FortiManager 7.2.x, dalla versione 7.2.0 alla 7.2.5
FortiManager 7.0.x, dalla versione 7.0.2 alla 7.0.12
FortiManager 6.2.x, dalla versione 6.2.10 alla 6.2.13
FortiManager Cloud 7.4.x, dalla versione 7.4.1 alla 7.4.3
FortiVoice 7.0.x, dalla versione 7.0.0 alla 7.0.1
FortiVoice 6.4.x, dalla versione 6.4.0 alla 6.4.8
FortiVoice 6.0.x
FortiAnalyzer 7.4.x, dalla versione 7.4.0 alla 7.4.3
FortiAnalyzer 7.2.x, dalla versione 7.2.0 alla 7.2.5
FortiAnalyzer 7.0.x, dalla versione 7.0.2 alla 7.0.12
FortiAnalyzer 6.2.x, dalla versione 6.2.10 alla 6.2.13
FortiOS 7.4.x, dalla versione 7.4.0 alla 7.4.4
FortiOS 7.2.x, dalla versione 7.2.0 alla 7.2.9
FortiOS 7.0.x, dalla versione 7.0.0 alla 7.0.15
FortiOS 6.4.x
FortiSandbox 4.4.x, dalla versione 4.4.0 alla 4.4.4
FortiSandbox 4.2.x, dalla versione 4.2.0 alla 4.2.6
FortiSandbox 4.0.x, dalla versione 4.0.0 alla 4.0.4
FortiSandbox 3.2.x
FortiSandbox 3.1.x
FortiSandbox 3.0.x, dalla versione 3.0.5 alla 3.0.7
FortiProxy 7.4.x, dalla versione 7.4.0 alla 7.4.4
FortiProxy 7.2.x, dalla versione 7.2.0 alla 7.2.11
FortiProxy 7.0.x, dalla versione 7.0.0 alla 7.0.18
FortiProxy 2.0.x
FortiProxy 1.2.x
FortiProxy 1.1.x
FortiProxy 1.0.x
FortiRecorder 7.2.x, dalla versione 7.2.0 alla 7.2.1
FortiRecorder 7.0.x, dalla versione 7.0.0 alla 7.0.4
FortiWeb 7.4.x, dalla versione 7.4.0 alla 7.4.4
FortiWeb 7.2.x
FortiWeb 7.0.x
FortiWeb 6.4.x

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni seguendo le indicazioni dei bollettini di sicurezza disponibili nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE

CVE-ID
CVE-2023-37931: apre una nuova finestra	CVE-2023-37936: apre una nuova finestra	CVE-2024-23106: apre una nuova finestra	CVE-2024-27778: apre una nuova finestra
CVE-2024-35273: apre una nuova finestra	CVE-2024-35277: apre una nuova finestra	CVE-2024-36512: apre una nuova finestra	CVE-2024-46662: apre una nuova finestra
CVE-2024-46668: apre una nuova finestra	CVE-2024-46670: apre una nuova finestra	CVE-2024-47571: apre una nuova finestra	CVE-2024-47572: apre una nuova finestra
CVE-2024-48884: apre una nuova finestra	CVE-2024-48885: apre una nuova finestra	CVE-2024-48886: apre una nuova finestra	CVE-2024-50563: apre una nuova finestra
CVE-2024-50566: apre una nuova finestra	CVE-2024-6387: apre una nuova finestra

Riferimenti

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana