พบช่องโหว่ใหม่บน Fortinet FortiWeb แนะผู้ใช้เตรียมอัปเดต

ทีมงาน Rapid7 ได้เผยช่องโหว่ใหม่บน FortiWeb ซึ่งปัจจุบันยังไม่มีแพตช์ออกมา แต่แนะนำให้ผู้ใช้งานจับตาการอัปเดตปลายเดือนนี้

credit : Rapid7

CVE-2021-22123 (CVSSv3 8.7/10) เป็นช่องโหว่ของ OS Command Injection ซึ่งผู้โจมตีจะต้องผ่านการพิสูจน์ตัวตนให้ถึงหน้า Management Interface ก่อนเข้าไปทำ injection ในส่วนของ SAML Server Config ซึ่งจะได้รับการประมวลผลในสิทธิ์ระดับ Root อย่างไรก็ดีทีมงาน Rapid7 เผยว่าอาจจะนำไปใช้ร่วมกับช่องโหว่อื่นเพื่อทำ Authentication Bypass ในขั้นแรกก่อนด้วย CVE-2020-29015 โดยทีมงานแนะนำว่าให้จำกัดการเข้าถึงหน้า Management Interface จากเครือข่ายที่เหมาะสม โดยเฉพาะการเข้าผ่านอินเทอร์เน็ต

อีกประเด็นหนึ่งก็คือทีมงาน Fortinet ชี้ว่า Rapid7 เปิดเผยช่องโหว่เร็วกว่ากำหนด 90 วัน หลังจากเพิ่งยื่นรายงานมาช่วงต้นเดือนมิถุนายน และตนวางแผนที่จะปล่อยแพตช์ในปลายเดือนนี้ติดตามข้อมูลจากบล็อกของ Rapid7 ได้ที่ https://www.rapid7.com/blog/post/2021/08/17/fortinet-fortiweb-os-command-injection/

ที่มา : https://www.bleepingcomputer.com/news/security/fortinet-delays-patching-zero-day-allowing-remote-server-takeover/ และ https://www.zdnet.com/article/patch-released-for-fortinet-command-injection-vulnerability/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

จัดการ PDPA ทั้งหมดอย่างเป็นระบบในที่เดียวด้วย WhiteFact จาก G-Able

ปัจจุบันมีผลิตภัณฑ์ที่เกี่ยวกับ PDPA หลากหลายให้เลือกใช้บริการ แต่ผลิตภัณฑ์เหล่านั้นมักจัดการ PDPA ได้แค่เรื่องใดเรื่องหนึ่ง เช่น RoPA, Consent Management, Cookie Management หรือ Request Management …

“ฟอร์ติเน็ตจับมือมหาวิทยาลัยศรีปทุม” เพื่อลดช่องว่างด้านทักษะ เพื่อต่อสู้ภัยไซเบอร์ของบุคลากรไทย [Guest Post]

“เปิดโอกาสให้บุคลากรไทยเข้าถึงหลักสูตรความรู้ด้านความปลอดภัยไซเบอร์ระดับโลกล่าสุดของฟอร์ติเน็ต เพื่อปั้นผู้เชี่ยวชาญมืออาชีพรุ่นเน็กซ์เจนเนอเรชั่น” ฟอร์ติเน็ต ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจร ได้ลงนามในบันทึกความเข้าใจ (MOU) กับมหาวิทยาลัยศรีปทุม เพื่อจัดหลักสูตรการฝึกอบรมและออกประกาศนียบัตรด้านความปลอดภัยทางไซเบอร์อันเป็นที่ยอมรับในอุตสาหกรรมระดับโลกให้นักศึกษาของไทย ความร่วมมือครั้งสำคัญนี้จะช่วยให้นักศึกษาของมหาวิทยาลัยศรีปทุมเพิ่มทักษะด้านการรักษาความปลอดภัยไซเบอร์ที่ตรงกับความต้องการขององค์กรในประเทศไทยจากหลักสูตรที่ได้รับรางวัลของฟอร์ติเน็ต เพื่อเตรียมให้นักศึกษาพร้อมเป็นผู้เชี่ยวชาญ ลดช่องว่างด้านทักษะ ช่วยสร้างโลกดิจิทัลของไทยให้ปลอดภัย