A Fortinet lançou atualizações de segurança para solucionar 40 vulnerabilidades em sua linha de software, incluindo FortiWeb, FortiOS, FortiNAS e FortiProxy, entre outros.

Duas das 40 falhas são classificadas como Críticas, 15 são classificadas como Altas, 22 são classificadas como Médias e uma é classificada como Baixa em gravidade.

No topo da lista está um bug grave que reside na solução de controle de acesso à rede FortiNAC (CVE-2022-39952, pontuação CVSS: 9,8) que pode levar à execução arbitrária do código.

“Um controle externo de nome de arquivo ou vulnerabilidade de caminho [CWE-73] no servidor Web FortiNAC pode permitir que um invasor não autenticado execute uma gravação arbitrária no sistema”, disse a Fortinet em um comunicado.

Os patches foram lançados nas versões 7.2.0, 9.1.8, 9.1.8 e 9.1.8 do FortiNAC. A segunda falha digna de nota é um conjunto de estouro de buffer baseado em pilha no daemon de proxy do FortiWeb (CVE-2021-42756) que pode permitir que um invasor remoto não autenticado obtenha a execução arbitrária de código por meio de solicitações HTTP especificamente criadas.

De acordo com a Fortinet, as vulnerabilidades foram identificadas pela equipe interna de segurança de produtos. Além disso, é interessante notar que a CVE-2021-42756, uma das falhas identificadas, aparentemente já havia sido identificada em 2021, mas não havia sido divulgada publicamente até o momento.

“Os ataques cibernéticos estão se tornando cada vez mais sofisticados e frequentes, e as organizações estão cada vez mais sendo alvo de ataques direcionados. As vulnerabilidades não corrigidas podem ser facilmente detectadas por cibercriminosos, que podem explorá-las e através disso comprometer todo o ambiente corporativo. Portanto, é essencial que as organizações corrijam as vulnerabilidades o mais rápido possível para minimizar o risco de serem comprometidas.” Comenta André Silva, COO da Empresa HackerSec.