- 上版日期:2022-10-19
Fortinet於2022年10月上旬發布HTTP或HTTPS身分驗證漏洞(CVE-2022-40684),CVSS 風險值達9.8分,遠端攻擊者可透過特製HTTP或HTTPS header請求觸發漏洞,繞過管理頁面取得權限,進而遠端存取受害主機,目前發現有遭駭客利用的跡象 。Fortinet已於2022年10月10日釋出更新,請盡速進行下載更新或採用緩解措施。
影響範圍:
FortiOS版本 7.2.0 至 7.2.1
FortiOS版本 7.0.0 至 7.0.6
FortiProxy版本 7.2.0
FortiProxy版本 7.0.0 至 7.0.6
FortiSwitchManager版本 7.2.0
FortiSwitchManager版本 7.0.0
建議措施:
- 盡速更新韌體至下列版本:
FortiOS版本 7.2.2以上
FortiOS版本 7.0.7以上
FortiProxy版本 7.2.1 以上
FortiProxy版本 7.0.7 以上
FortiSwitchManager版本 7.2.1 以上 - 若無法更新,亦可參考下列方式緩解:
a.停用 web管理界面。
b.避免管理介面暴露於Internet上,或限制存取IP。
參考連結: