FortiWeb sérülékenység
A Fortinet jelentés egy kritikus sérülékenységre hívja fel a figyelmet a FortiWeb termékcsaládban. A hiba lényege, hogy a rendszerben nem megfelelően semlegesítik az operációs rendszer parancsokban használt különleges elemeket, ami lehetővé teszi az OS Command Injection típusú támadást. Ez a sérülékenység a CWE-78 kategóriába tartozik, és hitelesített támadóknak lehetőséget nyújt jogtalan kód végrehajtására a rendszeren, speciálisan kialakított HTTP kérések vagy CLI parancsok segítségével.
A Fortinet cég már észlelte, hogy ezt a sérülékenységet aktívan kihasználják, ezért sürgős javításra szorul. A hiba kizsákmányolása esetén a támadó jogtalanul futtathat kódot a FortiWeb eszközön, ami komoly biztonsági kockázatot jelenthet a védett hálózatok és alkalmazások számára. A Fortinet ajánlása szerint a felhasználók minél előbb telepítsék a rendelkezésre álló frissítéseket, és kövessék a biztonsági ajánlásokat a kockázat minimalizálása érdekében. A Fortinet folyamatosan monitorozza a helyzetet, és további információkat, valamint frissítéseket tesz közzé a hivatalos PSIRT (Product Security Incident Response Team) oldalán.
