Perusahaan solusi keamanan siber Fortinet telah merilis pembaruan keamanan untuk produk FortiNAC dan FortiWeb, mengatasi dua kerentanan kritis yang memungkinkan penyerang yang tidak diautentikasi untuk melakukan kode arbitrer atau eksekusi perintah.
Cacat pertama, yang berdampak pada FortiNAC, dilacak sebagai CVE-2022-39952 dan memiliki skor CVSS v3 9,8 (kritis).
FortiNAC adalah solusi kontrol akses jaringan yang membantu organisasi mendapatkan visibilitas jaringan waktu nyata, menerapkan kebijakan keamanan, serta mendeteksi dan mengurangi ancaman.
“Kontrol eksternal atas nama file atau kerentanan jalur [CWE-73] di server web FortiNAC memungkinkan penyerang yang tidak diautentikasi untuk melakukan penulisan sewenang-wenang pada sistem,” membaca penasihat keamanan.
Produk yang terkena dampak cacat ini adalah:
- FortiNAC versi 9.4.0
- FortiNAC versi 9.2.0 hingga 9.2.5
- FortiNAC versi 9.1.0 hingga 9.1.7
- FortiNAC 8.8 semua versi
- FortiNAC 8.7 semua versi
- FortiNAC 8.6 semua versi
- FortiNAC 8.5 semua versi
- FortiNAC 8.3 semua versi
Kerentanan CVE-2022-39952 diperbaiki di FortiNAC 9.4.1 dan lebih baru, 9.2.6 dan lebih baru, 9.1.8 dan lebih baru, dan 7.2.0 dan lebih baru.
Kerentanan kedua yang berdampak pada FortiWeb adalah CVE-2021-42756yang memiliki skor CVSS v3 9,3 (kritis).
FortiWeb adalah solusi firewall aplikasi web (WAF) yang dirancang untuk melindungi aplikasi web dan API dari skrip lintas situs (XSS), injeksi SQL, serangan bot, DDoS (penolakan layanan terdistribusi), dan ancaman online lainnya.
“Beberapa kerentanan buffer overflow berbasis tumpukan [CWE-121] dalam daemon proksi FortiWeb memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mencapai eksekusi kode arbitrer melalui permintaan HTTP yang dibuat khusus,” menjelaskan penasehat Fortinet.
CVE-2021-42756 memengaruhi versi di bawah ini:
- FortiWeb versi 5.x semua versi
- FortiWeb versi 6.0.7 dan yang lebih lama
- FortiWeb versi 6.1.2 dan yang lebih lama
- FortiWeb versi 6.2.6 dan yang lebih lama
- FortiWeb versi 6.3.16 dan yang lebih lama
- FortiWeb versi 6.4 semua versi
Untuk mengatasi kekurangan tersebut, admin harus memutakhirkan ke FortiWeb 7.0.0 atau lebih baru, 6.3.17 atau lebih baru, 6.2.7 atau lebih baru, 6.1.3 atau lebih baru, dan 6.0.8 atau lebih baru.
Anehnya, ID CVE menunjukkan bahwa kerentanan tersebut ditemukan pada tahun 2021 tetapi hingga saat ini belum diungkapkan kepada publik.
Vendor belum memberikan saran atau solusi mitigasi untuk salah satu kelemahan tersebut, sehingga menerapkan pembaruan keamanan yang tersedia adalah satu-satunya cara untuk mengatasi risiko tersebut.
