Firma Fortinet naprawiła wiele poważnych luk w zabezpieczeniach, które miały wpływ na jej produkty. Luki obejmują zarówno zdalne wykonanie kodu (RCE), wstrzyknięcie SQL, jak i odmowę usługi (DoS) i wpływają na produkty FortiProxy SSL VPN i FortiWeb Web Application Firewall (WAF).
Aktualizacje z lutego:
CVE-2018-13383 | DoS, RCE | FortiProxy SSL VPN 2.0.0 and below, 1.2.8 and below, 1.1.6 and below, 1.0.7 and below. | FortiProxy SSL VPN >= 2.0.1 and >= 1.2.9. |
CVE-2018-13381 | DoS | FortiProxy SSL VPN 2.0.0 and below, 1.2.8 and below, 1.1.6 and below, 1.0.7 and below. | FortiProxy SSL VPN >= 2.0.1 and >= 1.2.9. |
Na szczególną uwagę zasługuje luka CVE-2018-13381 w FortiProxy SSL VPN, która może zostać wywołana przez zdalnego, nieuwierzytelnionego aktora poprzez spreparowane żądanie POST. Ze względu na przepełnienie bufora w portalu SSL VPN FortiProxy, specjalnie spreparowane żądanie POST o dużym rozmiarze, po odebraniu przez produkt, może je zawiesić, prowadząc do stanu Denial of Service (DoS).
Podobnie CVE-2018-13383 jest interesujący, ponieważ osoba atakująca może go wykorzystać, aby wywołać przepełnienie sieci VPN za pośrednictwem właściwości zawartości HREF JavaScript. Jeżeli strona internetowa stworzona przez atakującego zawierająca ładunek JavaScript zostanie przeanalizowana przez FortiProxy SSL VPN, oprócz DoS możliwe jest zdalne wykonanie kodu.