更新時間:2023/06/14 12:42:56
發佈時間:2023/06/14 12:41:42
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
FortiNet FortiOS & FortiProxy SSL-VPN存在高風險緩衝區溢位漏洞,攻擊者可透過特製的請求來觸發此漏洞,成功利用後即可自遠端執行任意程式碼或指令等攻擊。
二、已揭露攻擊程式碼說明[2]
網際網路上已有相關攻擊手法與 Exploit Code。
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://www.fortiguard.com/psirt/FG-IR-23-097 | 1.FortiNet |
| https://labs.watchtowr.com/xortigate-or-cve-2023-27997/ | 2.watchTowr |
▶ 影響平台
⌵
影響平台-系統:
FortiOS-6K7K:版本 6.0.10、6.0.12-6.0.16、6.2.4、6.2.6-6.2.7、6.2.9-6.2.13、6.4.2、6.4.6、6.4.8、6.4.10、6.4.12、7.0.5、7.0.10
FortiOS:版本 6.0.0-6.0.16、6.2.0-6.2.13、6.4.0-6.4.12、7.0.0-7.0.11、7.2.0-7.2.4
FortiProxy:版本 1.1全、1.2全、2.0.0-2.0.12、7.0.0-7.0.9、7.2.0-7.2.3
▶ 建議措施
⌵
1. 官方已提供修補程式,請評估後升級至對應版本。
FortiOS-6K7K:版本 6.0.17 或以上、6.2.15 或以上、6.4.13 或以上、7.0.12 或以上
FortiOS:版本 6.0.17 或以上、6.2.14 或以上、6.4.13 或以上、7.0.12 或以上、7.2.5 或以上、7.4.0 或以上
FortiProxy:7.0.10 或以上、7.2.4 或以上
▶ 漏洞資訊
⌵
名稱:
CVE-2023-27997
描述:
使用版本:CVSS 3.1
分析分數:9.2
參考來源: FortiNet
情資編號:
FISAC-200-202306-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞