Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全通告-环球观天下
漏洞概述 | |||
漏洞名称 | Fortinet FortiOS SSL-VPN 远程代码执行漏洞
| ||
漏洞编号 | QVD-2023-13607、CVE-2023-27997 | ||
公开时间 | 2023-06-09 | 影响对象数量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 9.8 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 未发现 | 在野利用状态 | 未发现 |
EXP状态 | 未发现 | 技术细节状态 | 未公开 |
危害描述:允许未经身份验证的远程攻击者通过特制请求使设备远程崩溃,并可能执行任意代码。 | |||
(相关资料图)01漏洞详情
影响组件
Fortinet FortiOS 是美国飞塔(Fortinet)公司的一套专用于 FortiGate 网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。
漏洞描述
近日,奇安信CERT监测到Fortinet FortiOS SSL-VPN 远程代码执行漏洞(CVE-2023-27997),在Fortinet FortiOS SSL-VPN中存在一个基于堆的缓冲区溢出错误,允许未经身份验证的远程攻击者通过特制请求使设备远程崩溃,并可能执行任意代码。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
02影响范围
影响版本
Fortinet FortiOS 6.0.x < 6.0.17
Fortinet FortiOS 6.2.x < 6.2.15
Fortinet FortiOS 6.4.x < 6.4.13
Fortinet FortiOS 7.0.x < 7.0.12
Fortinet FortiOS 7.2.x < 7.2.5
不受影响版本
Fortinet FortiOS 6.0.x >= 6.0.17
Fortinet FortiOS 6.2.x >= 6.2.15
Fortinet FortiOS 6.4.x >= 6.4.13
Fortinet FortiOS 7.0.x >= 7.0.12
Fortinet FortiOS 7.2.x >= 7.2.5
其他受影响组件
无
03处置建议
安全更新
目前官方已发布新版本修复了该漏洞,可下载最新版本进行升级。
更多信息参考官方文档:
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/9b64158a-f34b-11ed-8e6d-fa163e15d75b/fortios-v6.0.17-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/c46146c1-f10b-11ed-8e6d-fa163e15d75b/fortios-v6.2.15-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/a2c8550a-fe3d-11ed-8e6d-fa163e15d75b/fortios-v6.4.13-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/c7676a14-fe3d-11ed-8e6d-fa163e15d75b/fortios-v7.0.12-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/e52fe5af-fe3d-11ed-8e6d-fa163e15d75b/fortios-v7.2.5-release-notes.pdf
04参考资料
[1]https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/9b64158a-f34b-11ed-8e6d-fa163e15d75b/fortios-v6.0.17-release-notes.pdf
[2]https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/c46146c1-f10b-11ed-8e6d-fa163e15d75b/fortios-v6.2.15-release-notes.pdf
[3]https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/a2c8550a-fe3d-11ed-8e6d-fa163e15d75b/fortios-v6.4.13-release-notes.pdf
[4]https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/c7676a14-fe3d-11ed-8e6d-fa163e15d75b/fortios-v7.0.12-release-notes.pdf
[5]https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/e52fe5af-fe3d-11ed-8e6d-fa163e15d75b/fortios-v7.2.5-release-notes.pdf
标签:
相关阅读
-
Fortinet FortiOS SSL-VPN 远程代码...
漏洞概述漏洞名称FortinetFortiOSSSL-VPN远程代码执行漏洞漏洞编号QVD- -
什么是导致特权访问管理工程延期的主要...
特权访问管理(PrivilegedAccessManagement,PAM)是用来预防管理员账 -
法国数据保护委员会公布其人工智能行动计划
2023年5月16日,法国国家信息和自由委员会(CNIL)发布了一份名为《Art -
数据空间基础设施的技术挑战及数联网解...
罗超然1,2,马郓1,2,3,景翔1,2,4,黄罡1,2,51数据空间技术与系统全国重 -
Google发布安全人工智能框架SAIF
2023年6月8日,Google正式发布了SAIF(SecureAIFramework)安全AI框架, -
基于深度学习的细粒度漏洞检测框架VulDe...
自动检测软件漏洞是一个引起学术界广泛关注的重要问题,然而现有的漏洞
