Alerta: Vulnerabilidades Críticas afetam FortiOS e FortiProxy

Alerta: Vulnerabilidades Críticas afetam FortiOS e FortiProxy

A empresa de cibersegurança Fortinet lançou um patch de segurança urgente para corrigir duas vulnerabilidades críticas que afetam seus produtos FortiOS e FortiProxy. As vulnerabilidades, CVE-2023-0496 e CVE-2023-0497, podem permitir que um invasor execute código arbitrário em dispositivos vulneráveis.

A vulnerabilidade CVE-2023-0496, classificada como crítica com um CVSS (Sistema de Pontuação de Vulnerabilidade Comum) de 9,3, afeta dispositivos FortiOS que estão configurados com o serviço SSL-VPN. O bug residia em uma função de manipulação de buffer que poderia permitir que um atacante remoto enviasse dados maliciosos e executasse código arbitrário no dispositivo vulnerável.

A vulnerabilidade CVE-2023-0497, classificada como crítica com um CVSS de 9,0, foi encontrada no FortiProxy ao lidar com solicitações de autenticação NT LAN Manager (NTLM). A falha de segurança habilitou um atacante a executar código arbitrário em aplicações dentro da VPC (Virtual Private Cloud) depois de um usuário autenticado acessar um recurso mal-intencionado.

É altamente recomendável que os usuários dos produtos Fortinet que possuem dispositivos afetados atualizem seus sistemas imediatamente para corrigir essas vulnerabilidades críticas. É importante destacar que, se um invasor explorar essas falhas e obter acesso ao sistema, eles podem roubar informações confidenciais e comprometer seriamente a segurança do conjunto de dados de uma organização.