CVE-2022-41328

Fortinet FortiOS

ВЕРОЯТНОСТЬ 0.2%
Дата обнаружения

2023-03-14

Официальное описание

Fortinet FortiOS contains a path traversal vulnerability that may allow a local privileged attacker to read and write files via crafted CLI commands.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-41328 представляет собой критическую уязвимость типа Path Traversal (обход пути) в операционной системе FortiOS. Проблема заключается в недостаточной проверке путей к файлам при выполнении определенных команд через интерфейс командной строки (CLI).

Злоумышленник, обладающий привилегиями администратора, может использовать специально сформированные команды для выхода за пределы ограниченной файловой системы. Это позволяет читать или записывать произвольные файлы на системном разделе устройства, что в конечном итоге ведет к выполнению произвольного кода и полной компрометации FortiGate. Данная уязвимость использовалась в целевых атаках на государственные и правительственные организации.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки FortiOS до версий, в которых данная ошибка исправлена.

  1. Проверьте текущую версию прошивки:
get system status
  1. Если ваша версия входит в список уязвимых, обновитесь до соответствующей исправленной версии:
  2. FortiOS версии 7.2.x: обновиться до 7.2.4 или выше.
  3. FortiOS версии 7.0.x: обновиться до 7.0.10 или выше.
  4. FortiOS версии 6.4.x: обновиться до 6.4.12 или выше.
  5. FortiOS версии 6.2.x: обновиться до 6.2.13 или выше.

  6. FortiOS версии 6.0.x: обновиться до 6.0.16 или выше.

  7. Выполните обновление через GUI (System -> Firmware) или через CLI:

execute restore config tftp <filename> <tftp_server_ip>

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски, ограничив возможности локального доступа для потенциального атакующего:

  1. Настройте доверенные хосты (Trusted Hosts) для всех учетных записей администраторов, чтобы ограничить доступ к CLI только с определенных IP-адресов:
config system admin
    edit <admin_user>
        set set-trusthost1 <trusted_ip_mask>
    next
end

  1. Используйте многофакторную аутентификацию (MFA) для всех административных аккаунтов, чтобы предотвратить несанкционированный вход.

  2. Ограничьте использование протоколов управления (SSH, HTTPS) только на необходимых интерфейсах:

config system interface
    edit <interface_name>
        unset allowaccess ssh https
    next
end
  1. Проведите аудит системных логов на предмет подозрительных команд CLI и необычной активности файловой системы.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей