在今年 (2023) 6 月时,研究人员发现了 Fortinet 的 FortiOS, FortiOS-6K7K, FortiProxy 等系统,都存在着 SSL-VPN 的重大安全性漏洞[CWE-122]。

恶意人士可以在 Internet 上,利用该漏洞远端执行任意程式码或指令,CVSS 分数为 9.8 分,属 Critical 的重大漏洞。

这个漏洞与2022 年的CVE-2022-42475 类似,也是透过 SSL VPN 的弱点进行攻击。

受影响的系统版本如下:

FortiOS:7.2.0-7.2.4、7.0.0-7.0.11、6.4.0-6.4.12、6.2.0-6.2.13,以及6.0.0-6.0.16。

FortiOS-6K7K:7.0.10、7.0.5、6.4.12、6.4.10、6.4.8、6.4.6、6.4.2、6.2.9-6.2.13、6.2.6-6.2.7、6.2.4、6.0.12-6.0.16,以及6.0.10。

FortiProxy:7.2.0-7.2.3、7.0.0-7.0.9、2.0.0-2.0.12,以及 1.2和1.1。

建议的解决方案,若无使用 SSL-VPN 功能,请关闭。

或请尽速更新版本:

FortiOS:7.4.0、7.2.5、7.0.12、6.4.13、6.2.14、6.0.17 或更高版本。

FortiOS-6K7K:7.0.12、6.4.13、6.2.15、6.0.17 或更高版本。

FortiProxy:7.2.4、7.0.10、2.0.13 或更高版本。

#PCI #PCI DSS #Compliance