情資卡編號:TCCY-RCDC-ANA-202303-0037
內容說明:
資安業者Fortinet近日公布防火牆作業系統FortiOS、網頁安全閘道FortiProxy的重大漏洞CVE-2023-25610,一旦遭到利用,攻擊者可在未經身分驗證的情況下,藉由發出特定的偽造請求,執行任意程式碼或是發動阻斷服務(DoS)攻擊。
這個漏洞發生的原因與記憶體負位(Underflow)有關,當應用程式嘗試從記憶體緩衝區讀取額外的資料時,就有可能導致系統存取相鄰的記憶體位置,進而衍生資安風險,CVSS風險評分為9.3分。該公司表示,約有50款存在漏洞的設備僅能被用於DoS攻擊,但駭客無法拿來執行任意程式碼。
風險等級:2
建議措施:
修復 CVE-2023-25610 漏洞的目標升級版本如下,建議儘速執行更新:
FortiOS 版本 7.4.0 或更高版本
FortiOS 版本 7.2.4 或更高版本
FortiOS 版本 7.0.10 或更高版本
FortiOS 版本 6.4.12 或更高版本
FortiOS 版本 6.2.13 或更高版本
FortiProxy 版本 7.2.3 或以上
FortiProxy 版本 7.0.9 或以上
FortiProxy 版本 2.0.12 或以上
FortiOS-6K7K 版本 7.0.10 或更高版本
FortiOS-6K7K 版本 6.4.12 或更高版本
FortiOS-6K7K 版本 6.2.13 或更高版本