Questa vulnerabilità è stata inizialmente pubblicata l'8 febbraio 2024. La vulnerabilità, identificata come CVE-2024-23113 (punteggio CVSS: 9.8), riguarda casi di esecuzione di codice da remoto che colpisce FortiOS, FortiPAM, FortiProxy e FortiWeb. Il difetto deriva dall'uso di una stringa di formato controllata esternamente nel demone fgfmd, che gestisce le richieste di autenticazione e i messaggi di keep-alive. Sintesi: Un utilizzo di una stringa di formato controllata esternamente in Fortinet FortiOS versioni 7.4.0 fino a 7.4.2, 7.2.0 fino a 7.2.6, 7.0.0 fino a 7.0.13, FortiProxy versioni 7.4.0 fino a 7.4.2, 7.2.0 fino a 7.2.8, 7.0.0 fino a 7.0.14, FortiPAM versioni 1.2.0, 1.1.0 fino a 1.1.2, 1.0.0 fino a 1.0.3, FortiSwitchManager versioni 7.2.0 fino a 7.2.3, 7.0.0 fino a 7.0.3 consente a un attaccante di eseguire codice o comandi non autorizzati tramite pacchetti appositamente progettati. Sfruttata nel mondo reale: La CISA ha confermato che questa vulnerabilità è attivamente sfruttata nel mondo reale. Gli aggressori sfruttano questa falla per ottenere accesso non autorizzato ai sistemi vulnerabili senza richiedere interazione dell'utente o privilegi elevati, rendendola un vettore di attacco a bassa complessità. L'esploit di questa vulnerabilità rappresenta un rischio significativo per le organizzazioni, soprattutto quelle che utilizzano questi prodotti in infrastrutture critiche. Raccomandazioni: Fortinet ha già rilasciato patch per risolvere la vulnerabilità CVE-2024-23113. Si consiglia vivamente alle organizzazioni di aggiornare i loro sistemi alle ultime versioni come segue:
Segui il percorso di aggiornamento consigliato utilizzando lo strumento di Fortinet su: https://docs.fortinet.com/upgrade-tool Soluzioni alternative: Per ogni interfaccia, rimuovi l'accesso fgfm, ad esempio cambia:
Si noti che questo impedirà la scoperta di FortiGate da FortiManager. La connessione sarà comunque possibile da FortiGate. Si noti inoltre che una policy locale che consente solo connessioni FGFM da un IP specifico ridurrà la superficie di attacco, ma non impedirà alla vulnerabilità di essere sfruttata da questo IP. Di conseguenza, ciò dovrebbe essere utilizzato come mitigazione e non come una soluzione completa. Per ulteriori dettagli: https://www.fortiguard.com/psirt/FG-IR-24-029 CISA aggiunge tre vulnerabilità note e sfruttate al catalogo | CISA
Sintesi: Molteplici vulnerabilità in Palo Alto Networks Expedition consentono a un attaccante di leggere il contenuto del database Expedition e file arbitrari, nonché di scrivere file arbitrari in posizioni temporanee sul sistema Expedition. Tra queste informazioni vi sono nomi utente, password in chiaro, configurazioni dei dispositivi e chiavi API dei firewall PAN-OS. Queste problematiche non riguardano i firewall, Panorama, Prisma Access o Cloud NGFW. Le vulnerabilità, che riguardano tutte le versioni di Expedition precedenti alla 1.2.96, sono elencate di seguito:
Soluzione: Le soluzioni per tutti i problemi elencati sono disponibili in Expedition 1.2.96 e nelle versioni successive. Il file in chiaro interessato da CVE-2024-9466 verrà rimosso automaticamente durante l'aggiornamento. Tutti i nomi utente, password e chiavi API Expedition dovrebbero essere ruotati dopo l'aggiornamento alla versione fissa di Expedition. Soluzioni alternative e mitigazioni: Assicurarsi che l'accesso alla rete di Expedition sia limitato a utenti, host o reti autorizzati. Se Expedition non è in uso attivo, assicurarsi che il software Expedition sia spento. Non vi sono indicatori pratici di compromissione per il resto dei CVE in questo avviso. I clienti sono invitati a monitorare i CVE tracciati sulla pagina degli avvisi di sicurezza di Palo Alto: https://security.paloaltonetworks.com/PAN-SA-2024-0010
Sintesi: La vulnerabilità tracciata come CVE-2024-20432 (punteggio CVSS: 9.9) potrebbe consentire a un attaccante remoto, autenticato e a bassa privilegi, di eseguire un attacco di injection di comandi contro un dispositivo interessato. Il difetto è stato affrontato nella versione 12.2.2 di NDFC. Questa vulnerabilità è dovuta a un'autorizzazione utente impropria e alla validazione insufficiente degli argomenti dei comandi. Prodotti interessati: Questa vulnerabilità colpisce Cisco NDFC. Nota: questa vulnerabilità non colpisce Cisco NDFC quando è configurato per il deployment del controller SAN. Raccomandazione: Cisco ha rilasciato aggiornamenti software che risolvono questa vulnerabilità. Non vi sono soluzioni alternative per questa vulnerabilità.
Per ulteriori informazioni e patch, visitare la pagina di panoramica di Cisco. I clienti sono invitati a controllare i loro prodotti e applicare rapidamente le patch di sicurezza.
Per ulteriori informazioni e patch, visitare la pagina di panoramica di Cisco. I clienti sono invitati a controllare i loro prodotti e applicare rapidamente le patch di sicurezza.