优发国际网站官网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Fortinet FortiOS名堂字符串误差（CVE-2024-23113）

宣布时间 2024-10-15

一、误差概述

误差名称	Fortinet FortiOS名堂字符串误差
CVE ID	CVE-2024-23113
误差类型	使用外部控制的名堂字符串	发明时间	2024-02-19
误差评分	9.8	误差品级	高危
攻击向量	网络	所需权限	无
使用难度	低	用户交互	无
PoC/EXP	未果真	在野使用	已发明

Fortinet（飞塔）公司是一家全球着名的网络清静产品和清静解决计划提供商，其产品包括防火墙和VPN、防病毒软件、入侵防御系统和终端清静组件等。FortiOS是Fortinet开发的一套专用于FortiGate上的清静操作系统，为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种清静功效。

2024年2月19日，优发国际网站官网集团VSRC监测到Fortinet宣布清静通告，修复了Fortinet多款产品中的一个名堂字符串误差（CVE-2024-23113），其CVSS评分为9.8，现在该误差的手艺细节已果真，且已发明被使用。

由于Fortinet FortiOS、FortiProxy、FortiPAM和FortiWeb等产品多个受影响版本中fgfmd守护历程接受外部控制的名堂字符串作为参数，可能导致未经身份验证的远程攻击者通过特制请求在受影响装备中执行恣意下令或代码。

二、影响规模

受影响产品	受影响版本	影响规模	修复版本
FortiOS	FortiOS 7.4	7.4.0 - 7.4.2	升级到7.4.3或更高版本
	FortiOS 7.2	7.2.0 - 7.2.6	升级到7.2.7 或更高版本
	FortiOS 7.0	7.0.0 - 7.0.13	升级到7.0.14 或更高版本
FortiPAM	FortiPAM 1.3	不受影响	不适用
	FortiPAM 1.2	1.2 所有版本	迁徙至1.3或更高版本
	FortiPAM 1.1	1.1 所有版本	迁徙至1.3或更高版本
	FortiPAM 1.0	1.0 所有版本	迁徙至1.3或更高版本
FortiProxy	FortiProxy 7.4	7.4.0 - 7.4.2	升级到 7.4.3 或更高版本
	FortiProxy 7.2	7.2.0 - 7.2.8	升级到 7.2.9 或更高版本
	FortiProxy 7.0	7.0.0 - 7.0.15	升级到 7.0.16 或更高版本
FortiWeb	FortiWeb 7.4	7.4.0 - 7.4.2	升级到 7.4.3 或更高版本

三、清静步伐

3.1 升级版本

Fortinet已在2月宣布了该误差的修复程序，Shadowserver 基金会最近宣布的一份报告显示，现在互联网上仍保存大宗易受攻击的Fortinet装备，受影响用户可参考上表实时升级到响应修复版本。

下载链接：

https://docs.fortinet.com/product/fortigate/7.4

3.2 暂时步伐

关于每个接口，可通过移除对易受攻击的 fgfmd 守护历程的会见，例如将：

config system interface

edit "portX"

set allowaccess ping https ssh fgfm

next

end

更改为：

config system interface

edit "portX"

set allowaccess ping https ssh

next

end

注重，这将阻止FortiManager 发明 FortiGate，但仍然可以通过其他方法与FortiManager或其他网络装备举行通讯和毗连。

别的，治理员可实验外地战略，限制仅允许特定IP地点的 FGFM 毗连，以镌汰攻击面。

3.3 通用建议

l 按期更新系统补丁，镌汰系统误差，提升服务器的清静性。

l 增强系统和网络的会见控制，修改防火墙战略，关闭非须要的应用端口或服务，镌汰将危险服务（如SSH、RDP等）袒露到公网，镌汰攻击面。

l 使用企业级清静产品，提升企业的网络清静性能。

l 增强系统用户和权限治理，启用多因素认证机制和最小权限原则，用户和软件权限应坚持在最低限度。

l 启用强密码战略并设置为按期修改。

3.4 参考链接

https://www.fortiguard.com/psirt/FG-IR-24-029

https://nvd.nist.gov/vuln/detail/CVE-2024-23113

https://x.com/Shadowserver/status/1845478432479846737

https://labs.watchtowr.com/fortinet-fortigate-cve-2024-23113-a-super-complex-vulnerability-in-a-super-secure-appliance-in-2024/

四、版本信息

版本	日期	备注
V1.0	2024-10-15	首次宣布

五、附录

5.1 优发国际网站官网简介

优发国际网站官网建设于1996年，是由留美博士严望佳女士建设的、拥有完全自主知识产权的信息清静高科技企业。是海内最具实力的信息清静产品、清静服务解决计划的领航企业之一。

公司总部位于北京市中关村软件园优发国际网站官网大厦，公司员工6000余人，研发团队1200余人, 手艺服务团队1300余人。在天下各省、市、自治区设立分支机构六十多个，拥有笼罩天下的销售系统、渠道系统和手艺支持系统。公司于2010年6月23日在深圳中小板挂牌上市。（股票代码：002439）

多年来，优发国际网站官网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践服务，资助客户周全提升其IT基础设施的清静性和生产效能，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。

5.2 关于优发国际网站官网

优发国际网站官网清静应急响应中心已宣布1000多个误差通告和危害预警，我们将一连跟踪全球最新的网络清静事务和误差，为企业的信息清静保驾护航。

关注我们：

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号