1. 通告信息
近日�,安識(shí)科技A-Team團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)Fortinet(飛塔)發(fā)布安全公告,修復(fù)了其產(chǎn)品中的22個(gè)安全漏洞���,這些漏洞涉及FortiSandbox �、FortiPortal、 FortiManager��、FortiAnalyzer�����、 FortiOS和FortiAuthenticator���。
對(duì)此,安識(shí)科技建議廣大用戶及時(shí)升級(jí)到安全版本,并做好資產(chǎn)自查以及預(yù)防工作����,以免遭受黑客攻擊。
2. 漏洞概述
CVE-2021-32588: FortiPortal遠(yuǎn)程代碼執(zhí)行漏洞
簡(jiǎn)述: 由于FortiPortal中存在硬編碼憑證(CWE-798)漏洞�����,未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者可以通過(guò)使用默認(rèn)的硬編碼Tomcat管理器用戶名和密碼上傳和部署惡意Web應(yīng)用程序存檔文件�,并以root身份執(zhí)行任意命令
CVE-2021-32590: SQL注入漏洞
簡(jiǎn)述: 具有普通用戶權(quán)限的攻擊者可以通過(guò)惡意制作的HTTP請(qǐng)求在底層SQL數(shù)據(jù)庫(kù)上執(zhí)行任意命令
CVE-2021-32603 FortiManager & FortiAnalyzer SSRF漏洞
簡(jiǎn)述: 攻擊者可利用此漏洞執(zhí)行未授權(quán)的代碼或命令。
CVE-2021-26104 FortiManager & FortiAnalyzer&FortiPortal命令注入漏洞
簡(jiǎn)述: 攻擊者可以利用此漏洞以 root 身份執(zhí)行任意 shell 命令�。
CVE-2021-26097 FortiSandbox命令注入漏洞
簡(jiǎn)述: 攻擊者可以通過(guò)發(fā)送惡意 HTTP 請(qǐng)求執(zhí)行未授權(quán)的代碼或命令。
CVE-2021-24010 FortiSandbox路徑遍歷漏洞
簡(jiǎn)述: 攻擊者可以利用此漏洞實(shí)現(xiàn)未授權(quán)訪問(wèn)文件
CVE-2021-22124 FortiSandbox & FortiAuthenticator中拒絕服務(wù)漏洞
簡(jiǎn)述: 未經(jīng)身份驗(yàn)證的攻擊者可以通過(guò)發(fā)送惡意請(qǐng)求使設(shè)備進(jìn)入無(wú)響應(yīng)狀態(tài)�。
3. 漏洞危害
攻擊者可以利用漏洞以root身份執(zhí)行任意代碼�、shell命令�,接管服務(wù)器,存在極大的危害���。
4. 影響版本
CVE-2021-32588
FortiPortal 5.2.5 及以下版本
FortiPortal 5.3.5 及以下版本
FortiPortal 6.0.4 及以下版本
FortiPortal 5.0.x
FortiPortal 5.1.x
CVE-2021-32590
FortiPortal 6.0.4 及以下版本
FortiPortal 5.3.5 及以下版本
FortiPortal 5.2.5 及以下版本
FortiPortal 5.1.2 及以下版本
FortiPortal 5.0.3 及以下版本
FortiPortal 4.2.4 及以下版本
FortiPortal 4.1.2 及以下版本
FortiPortal 4.0.4 及以下版本
FortiPortal 3.2.2 及以下版本
5. 解決方案
針對(duì)CVE-2021-32588���,建議及時(shí)升級(jí)到以下版本:
FortiPortal 5.2.6 或更高版本
FortiPortal 5.3.6 或更高版本
FortiPortal 6.0.5 或更高版本
針對(duì)CVE-2021-32590,建議及時(shí)升級(jí)到以下版本:
FortiPortal 6.0.5 或更高版本
FortiPortal 5.3.6 或更高版本
FortiPortal 5.2.6 或更高版本
6. 時(shí)間軸
【-】2021年8月3日 Fortinet官方發(fā)布安全公告
【-】2021年8月4日 安識(shí)科技A-Team團(tuán)隊(duì)根據(jù)官方公告分析
【-】2021年8月5日 安識(shí)科技A-Team團(tuán)隊(duì)發(fā)布安全通告
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
