CVE-2023-25610
https://www.fortiguard.com/psirt/FG-IR-23-001
요약
FortiOS 및 FortiProxy 관리 인터페이스의 버퍼 언더라이트('버퍼 언더플로') 취약성으로 인해 인증되지 않은 원격 공격자가 특별히 제작된 요청을 통해 기기에서 임의 코드를 실행하거나 GUI에서 DoS를 수행할 수 있습니다.
착취 상태:
Fortinet은 이 취약점이 실제로 악용된 사례를 알지 못합니다. 우리는 제품의 보안을 지속적으로 검토하고 테스트하며 이 취약점은 해당 프레임 내에서 내부적으로 발견되었습니다.
영향을 받는 제품
FortiOS 버전 7.2.0 ~ 7.2.3
FortiOS 버전 7.0.0 ~ 7.0.9
FortiOS 버전 6.4.0 ~ 6.4.11
FortiOS 버전 6.2.0 ~ 6.2.12
FortiOS 6.0 모든 버전
FortiProxy 버전 7.2.0 ~ 7.2.2
FortiProxy 버전 7.0.0 ~ 7.0.8
FortiProxy 버전 2.0.0 ~ 2.0.11
FortiProxy 1.2 모든 버전
FortiProxy 1.1 모든 버전
Solutions
Please upgrade to FortiOS version 7.4.0 or above
Please upgrade to FortiOS version 7.2.4 or above
Please upgrade to FortiOS version 7.0.10 or above
Please upgrade to FortiOS version 6.4.12 or above
Please upgrade to FortiOS version 6.2.13 or above
Please upgrade to FortiProxy version 7.2.3 or above
Please upgrade to FortiProxy version 7.0.9 or above
Please upgrade to FortiProxy version 2.0.12 or above
Please upgrade to FortiOS-6K7K version 7.0.10 or above
Please upgrade to FortiOS-6K7K version 6.4.12 or above
Please upgrade to FortiOS-6K7K version 6.2.13 or above
Workaround for FortiOS:
Disable HTTP/HTTPS administrative interface(관리 접근 HTTP,HTTPS 제한)
OR
Limit IP addresses that can reach the administrative interface:(local-in Policy 이용)