104/67 (IT) ประจำวันศุกร์ที่ 15 มีนาคม 2567
สัปดาห์นี้ Fortinet ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ใน FortiOS, FortiProxy และ FortiClientEMS จำนวนสามรายการ โดยช่องโหว่แรกเป็นช่องโหว่ out-of-bounds write ที่ CVE-2023-42789 (คะแนน CVSS 9.3) ซึ่งสามารถถูก exploit ช่องโหว่เพื่อ execute unauthorized code โดยการส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่ และช่องโหว่ที่สองเป็นช่องโหว่ stack-based buffer overflow ที่มีความรุนแรงสูง ที่ CVE-2023-42790 (คะแนน CVSS 8.1) ซึ่งผู้โจมตีสามารถ exploit ช่องโหว่เพื่อ execute unauthorized code ผ่านการร้องขอ HTTP ที่สร้างขึ้นเป็นพิเศษ โดยช่องโหว่ทั้งสองได้ส่งผลกระทบต่อ Fortinet FortiOS 7.4.0 ถึง 7.4.1, 7.2.0 ถึง 7.2.5, 7.0.0 ถึง 7.0.12, 6.4.0 ถึง 6.4.14, 6.2.0 ถึง 6.2.15, FortiProxy 7.4.0, 7.2.0 ถึง 7.2.6, 7.0.0 ถึง 7.0.12, 2.0.0 ถึง 2.0.13 โดย Gwendal Guégniaud จากทีม Fortinet Product Security ได้เป็นผู้ค้นพบช่องโหว่ทั้งสอง
ช่องโหว่ที่สามที่บริษัทได้แก้ไขคือช่องโหว่ SQL injection ใน DB2 Administration Server (DAS) ที่ CVE-2023-48788 (คะแนน CVSS 9.3) โดยส่งผลกระทบต่อ FortiClient EMS เวอร์ชัน 7.0 (7.0.1 ถึง 7.0.10) และ 7.2 (7.2.0 ถึง 7.2.2) ซึ่งช่องโหว่นี้ถูกรายงานโดย Thiago Santana จากทีมพัฒนา ForticlientEMS และ UK NCSC