跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

重要資安警訊

:::
:::
Fortinet 系列產品包含重大漏洞,請盡速更新
  • 上版日期:2022-10-19

Fortinet於2022年10月上旬發布HTTP或HTTPS身分驗證漏洞(CVE-2022-40684),CVSS 風險值達9.8分,遠端攻擊者可透過特製HTTP或HTTPS header請求觸發漏洞,繞過管理頁面取得權限,進而遠端存取受害主機,目前發現有遭駭客利用的跡象 。Fortinet已於2022年10月10日釋出更新,請盡速進行下載更新或採用緩解措施。

影響範圍:

FortiOS版本 7.2.0 至 7.2.1
FortiOS版本 7.0.0 至 7.0.6
FortiProxy版本 7.2.0
FortiProxy版本 7.0.0 至 7.0.6
FortiSwitchManager版本 7.2.0
FortiSwitchManager版本 7.0.0

建議措施:

  1. 盡速更新韌體至下列版本:
    FortiOS版本 7.2.2以上
    FortiOS版本 7.0.7以上
    FortiProxy版本 7.2.1 以上
    FortiProxy版本 7.0.7 以上
    FortiSwitchManager版本 7.2.1 以上
  2. 若無法更新,亦可參考下列方式緩解:
    a.停用 web管理界面。
    b.避免管理介面暴露於Internet上,或限制存取IP。

參考連結:

  1. FortiGuard Labs:https://www.fortiguard.com/psirt/FG-IR-22-377
  2. NVD:https://nvd.nist.gov/vuln/detail/CVE-2022-40684
  3. IThome:https://www.ithome.com.tw/news/153674