Fortinet هشدار می دهد که از نقص بای پس احراز هویت بحرانی سوء استفاده شده است
“یک دور زدن احراز هویت با استفاده از یک مسیر یا آسیب پذیری کانال جایگزین [CWE-288] در FortiOS، FortiProxy و FortiSwitchManager ممکن است به یک مهاجم احراز هویت نشده اجازه دهند تا از طریق درخواستهای HTTP یا HTTPS که بهطور خاص ساخته شدهاند، عملیاتی را روی رابط مدیریتی انجام دهد.”
تصویر: Getty Images
آژانس امنیت سایبری و امنیت زیرساخت (CISA) یک نقص مهم Fortinet را به فهرست آسیبپذیریهای مورد سوء استفاده شناخته شده خود اضافه کرده است.
CISA در روز سه شنبه این نقص را به آن اضافه کرد کاتالوگ KEV، یک روز پس از اینکه Fortinet یک بای پس احراز هویت CVE-2022-40684 را که هفته گذشته وصله کرده بود را فاش کرد، قبلاً در طبیعت مورد سوء استفاده قرار می گرفت.
همچنین: آینده ترسناک اینترنت: چگونه فناوری فردا تهدیدات امنیتی سایبری بزرگتری را ایجاد خواهد کرد
این شرکت بهروزرسانیهایی را برای FortiOS، FortiProxy و FortiSwitchManager منتشر کرده است تا این نقص را برطرف کند که بر چندین دستگاه امنیتی آن تأثیر میگذارد.
به طور جداگانه، CISA در روز سه شنبه نیز نقص ویندوز را اضافه کرد CVE-2022-41033 به کاتالوگ KEV خود. مایکروسافت منتشر کرد یک به روز رسانی برای آن روز سهشنبه به آسیبپذیری افزایش امتیاز سرویس Windows COM+ Event System رسیدگی کند. مایکروسافت تأیید کرد که مورد سوء استفاده قرار گرفته است اما خاطرنشان کرد که این آسیب پذیری به طور عمومی فاش نشده است.