BDU:2023-01148: Уязвимость веб-интерфейса управления операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю выполнить произвольный код
Детали уязвимости BDU:2023-01148
Описание
Уязвимость веб-интерфейса управления операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy связана с возможностью переполнения буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Что делать с BDU:2023-01148
Критическая уязвимость (CVSS 9.8) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:N/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Тактики и техники
Уязвимое ПО (10)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Fortinet Inc. | FortiProxy | от 2.0.0 до 2.0.11 включительно | Не указана |
| Fortinet Inc. | FortiOS | от 6.2.0 до 6.2.12 включительно | Не указана |
| Fortinet Inc. | FortiOS | от 6.4.0 до 6.4.11 включительно | Не указана |
| Fortinet Inc. | FortiOS | от 7.2.0 до 7.2.3 включительно | Не указана |
| Fortinet Inc. | FortiOS | от 7.0.0 до 7.0.9 включительно | Не указана |
| Fortinet Inc. | FortiProxy | от 7.2.0 до 7.2.2 включительно | Не указана |
| Fortinet Inc. | FortiProxy | от 7.0.0 до 7.0.8 включительно | Не указана |
| Fortinet Inc. | FortiOS-6K7K | до 7.0.10 | Не указана |
| Fortinet Inc. | FortiOS-6K7K | до 6.4.12 | Не указана |
| Fortinet Inc. | FortiOS-6K7K | до 6.2.13 | Не указана |
Среды функционирования (7)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Fortinet Inc. | FortiOS | от 6.2.0 до 6.2.12 включительно | Не указана |
| Fortinet Inc. | FortiOS | от 6.4.0 до 6.4.11 включительно | Не указана |
| Fortinet Inc. | FortiOS | от 7.2.0 до 7.2.3 включительно | Не указана |
| Fortinet Inc. | FortiOS | от 7.0.0 до 7.0.9 включительно | Не указана |
| Fortinet Inc. | FortiOS-6K7K | до 7.0.10 | Не указана |
| Fortinet Inc. | FortiOS-6K7K | до 6.4.12 | Не указана |
| Fortinet Inc. | FortiOS-6K7K | до 6.2.13 | Не указана |
Рекомендации по устранению
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - отключение административного интерфейса (HTTP/HTTPS); - внедрение механизма «белых» списков IP-адресов: 1. Для ограничения доступа к административному интерфейсу: config firewall address edit "my_allowed_addresses" set subnet <MY IP> <MY SUBNET> end 2. Создание разрешённой группы адресов config firewall addrgrp edit "MGMT_IPs" set member "my_allowed_addresses" end 3. Создание локальной политики для ограничения доступа только предопределенной группой к интерфейсу управления (здесь: Port1): config firewall local-in-policy edit 1 set intf port1 set srcaddr "MGMT_IPs" set dstaddr "all" set action accept set service HTTPS HTTP set schedule "always" set status enable next edit 2 set intf "any" set srcaddr "all" set dstaddr "all" set action deny set service HTTPS HTTP set schedule "always" set status enable end 4. При использовании портов по умолчанию создание соответствующего объекта службы для административного доступа GUI: config firewall service custom edit GUI_HTTPS set tcp-portrange <admin-sport> next edit GUI_HTTP set tcp-portrange <admin-port> end - использование средств межсетевого экранирования для ограничения возможности удалённого доступа; - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций производителя: https://www.fortiguard.com/psirt/FG-IR-23-001
Источники (1)
SLA ФСТЭК №117
24 часа
по базовой оценке CVSS 9.8
Уточните SLA под вашу среду
Базовый балл 9.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Приоритетное устранение
Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2023-03-07
Опубликована
2023-03-09
Обновлена
2023-03-09
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2026-08505Уязвимость интерфейса командной строки операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiPro
BDU:2026-06783Уязвимость демона CAPWAP (Control and Provisioning of Wireless Access Points) операционных систем Fortinet FortiOS, позв
BDU:2026-05551Уязвимость операционных систем Fortinet FortiOS, связанная с отсутствием аутентификации для критичной функции, позволяющ
BDU:2026-05590Уязвимость операционных систем FortiOS, системы управления учетными данными FortiPAM и прокси-сервера для защиты от инте
BDU:2026-01820Уязвимость интерфейса командной строки операционных систем Fortinet FortiOS, позволяющая нарушителю выполнить произвольн
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.