FortiSwitch: устранение уязвимости смены пароля

В FortiSwitch выявлена критическая проблема, позволяющая злоумышленникам с помощью специально сформированного запроса изменять пароль администратора и получать несанкционированный доступ к системе.
FortiSwitch: устранение уязвимости смены пароля
Изображение носит иллюстративный характер

Идентификатор уязвимости CVE-2024-48887 и оценка CVSS 9.3 из 10 подчеркивают высокий риск, связанный с данной проблемой, отнесённой к категории CWE-620.

Ошибка в веб-интерфейсе FortiSwitch позволяет удалённым, неавторизованным пользователям воспользоваться недоработками системы для изменения пароля администратора, что ставит под угрозу контроль над управляемыми ресурсами.

Пользователям рекомендуется незамедлительно обновить FortiSwitch: устройства версии 6.0 следует перевести на 7.6.1 или выше, версии 7.4.0–7.4.4 — обновить до 7.4.5 и выше, версии 7.2.0–7.2.8 требуют перехода на 7.2.9, FortiSwitch 7.0.0–7.0.10 — обновить до 7.0.11, а устройства 6.4.0–6.4.14 необходимо перевести на версию 6.4.15 или новее.

Проблема была обнаружена внутренней командой разработки, во главе которой находится Даниэль Розебум из отдела веб-интерфейса FortiSwitch, что свидетельствует об оперативном контроле за безопасностью продуктов.

Помимо обновления системы, Fortinet рекомендует ограничить административный доступ, отключив HTTP/HTTPS и разрешив подключения только с доверенных хостов, что помогает снизить риск несанкционированного вмешательства.

Отсутствие зафиксированных фактов эксплуатации уязвимости не умаляет её опасности, учитывая историю использования похожих недостатков в продуктах Fortinet злоумышленниками.

Оперативное внедрение обновлений и применение дополнительных мер безопасности являются ключевыми факторами защиты сетевой инфраструктуры от потенциальных угроз.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка