개요
Fortinet 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-55591
FortiOS 7.0 버전: 7.0.0 ~ 7.0.16 (포함)
FortiProxy 7.2 버전: 7.2.0 ~ 7.2.12 (포함)
FortiProxy 7.0 버전: 7.0.0 ~ 7.0.19 (포함)
CVE-2024-23106
FortiClientEMS 7.2 버전: 7.2.0 ~ 7.2.3 (포함)
FortiClientEMS 7.0 버전: 7.0.0 ~ 7.0.10 (포함)
FortiClientEMS 6.4 버전: 모든 버전
FortiClientEMS 6.2 버전: 모든 버전
CVE-2024-27778
FortiSandbox 4.4 버전: 4.4.0 ~ 4.4.4 (포함)
FortiSandbox 4.2 버전: 4.2.0 ~ 4.2.6 (포함)
FortiSandbox 4.0 버전: 4.0.0 ~ 4.0.4 (포함)
FortiSandbox 3.2 버전: 모든 버전 (포함)
FortiSandbox 3.1 버전: 모든 버전 (포함)
FortiSandbox 3.0 버전: 3.0.5 ~ 3.0.7 (포함)
CVE-2024-35273
FortiAnalyzer 7.4 버전: 7.4.0 ~ 7.4.3 (포함)
FortiAnalyzer Cloud 7.4 버전: 7.4.1 ~ 7.4.2 (포함)
FortiManager Cloud 7.4 버전: 7.4.1 ~ 7.4.2 (포함)
FortiManager 7.4 버전: 7.4.0 ~ 7.4.2 (포함)
CVE-2024-35277
FortiManager Cloud 7.4 버전: 7.4.1 ~ 7.4.2 (포함)
FortiManager Cloud 7.2 버전: 7.2.1 ~ 7.2.5 (포함)
FortiManager Cloud 7.0 버전: 7.0.1 ~ 7.0.12 (포함)
FortiManager 7.4 버전: 7.4.0 ~ 7.4.2 (포함)
FortiManager 7.2 버전: 7.2.0 ~ 7.2.5 (포함)
FortiManager 7.0 버전: 7.2.0 ~ 7.0.12 (포함)
FortiManager 6.4 버전: 6.4.0 ~ 6.4.14 (포함)
CVE-2024-36512
FortiAnalyzer 7.4 버전: 7.4.0 ~ 7.4.3 (포함)
FortiAnalyzer 7.2 버전: 7.4.0 ~ 7.4.3 (포함)
FortiAnalyzer 7.0 버전: 7.4.0 ~ 7.4.3 (포함)
FortiAnalyzer 6.2 버전: 7.4.0 ~ 7.4.3 (포함)
FortiManager 7.4 버전: 7.4.0 ~ 7.4.2 (포함)
FortiManager 7.2 버전: 7.2.0 ~ 7.2.5 (포함)
FortiManager 7.0 버전: 7.2.0 ~ 7.0.12 (포함)
FortiManager 6.4 버전: 6.4.0 ~ 6.4.14 (포함)
CVE-2024-46668
FortiOS 7.4 버전: 7.4.0 ~ 7.4.4 (포함)
FortiOS 7.2 버전: 7.2.0 ~ 7.2.8 (포함)
FortiOS 7.0 버전: 7.0.0 ~ 7.0.15 (포함)
FortiOS 6.4 버전: 6.4.0 ~ 6.4.15 (포함)
CVE-2024-46670
FortiOS 7.6 버전: 7.6.0
FortiOS 7.4 버전: 7.4.0 ~ 7.4.4 (포함)
FortiOS 7.2 버전: 7.2.0 ~ 7.2.9 (포함)
CVE-2024-47571
FortiManager 7.4 버전: 7.4.0
FortiManager 7.2 버전: 7.2.3
FortiManager 7.0 버전: 7.0.7 ~ 7.0.8 (포함)
FortiManager 6.4 버전: 6.4.12
CVE-2024-47572
FortiSOAR 7.4 버전: 7.4.0 ~ 7.4.1 (포함)
FortiSOAR 7.3 버전: 7.3.0 ~ 7.3.2 (포함)
FortiSOAR 7.2 버전: 7.2.1 ~ 7.2.2 (포함)
CVE-2024-50566
FortiManager Cloud 7.6 버전: 7.6.0 ~ 7.6.1 (포함)
FortiManager Cloud 7.4 버전: 7.4.0 ~ 7.4.4 (포함)
FortiManager Cloud 7.2 버전: 7.2.2 ~ 7.2.7 (포함)
FortiManager 7.6 버전: 7.6.0 ~ 7.6.1 (포함)
FortiManager 7.4 버전: 7.4.0 ~ 7.4.5 (포함)
FortiManager 7.2 버전: 7.2.1 ~ 7.2.8 (포함)
해결된 취약점
대체 경로 또는 채널을 이용한 인증 우회 취약점(CVE-2024-55591)
과도한 인증 시도에 대한 부적절한 제한 취약점(CVE-2024-23106)
운영 체제 명령어의 특수 요소를 적절히 무력화하지 않는 취약점(CVE-2024-27778)
범위를 벗어난 쓰기 취약점(CVE-2024-35273)
중요한 기능에 대한 인증 부족 취약점(CVE-2024-35277)
상대 경로 탐색 취약점(CVE-2024-36512)
엔드포인트에서의 리소스 할당 제한 미비 취약점(CVE-2024-46668)
범위를 벗어난 읽기 취약점(CVE-2024-46670)
만료 또는 해제된 리소스에 대한 작업 취약점(CVE-2024-47571)
CSV 파일 내 수식 요소의 부적절한 무력화 취약점(CVE-2024-47572)
OS 명령어 주입 취약점(CVE-2024-50566)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-55591
FortiOS 7.0 버전: 7.0.17 이상
FortiProxy 7.2 버전: 7.2.13 이상
FortiProxy 7.0 버전: 7.0.20 이상
CVE-2024-23106
FortiClientEMS 7.2 버전: 7.2.5 이상
FortiClientEMS 7.0 버전: 7.0.11 이상
FortiClientEMS 6.4 버전: 수정된 버전으로 업그레이드
FortiClientEMS 6.2 버전: 수정된 버전으로 업그레이드
CVE-2024-27778
FortiSandbox 4.4 버전: 4.4.5 이상
FortiSandbox 4.2 버전: 4.2.7 이상
FortiSandbox 4.0 버전: 4.0.5 이상
FortiSandbox 3.2 버전: 수정된 버전으로 업그레이드
FortiSandbox 3.1 버전: 수정된 버전으로 업그레이드
FortiSandbox 3.0 버전: 수정된 버전으로 업그레이드
CVE-2024-35273
FortiAnalyzer 7.4 버전: 7.4.4 이상
FortiAnalyzer Cloud 7.4 버전: 7.4.3 이상
FortiManager Cloud 7.4 버전: 7.4.3 이상
FortiManager 7.4 버전: 7.4.3 이상
CVE-2024-35277
FortiManager Cloud 7.4 버전: 7.4.3 이상
FortiManager Cloud 7.2 버전: 7.2.7 이상
FortiManager Cloud 7.0 버전: 7.0.13 이상
FortiManager 7.4 버전: 7.4.3 이상
FortiManager 7.2 버전: 7.2.6 이상
FortiManager 7.0 버전: 7.2.13 이상
FortiManager 6.4 버전: 6.4.15 이상
CVE-2024-36512
FortiAnalyzer 7.4 버전: 7.4.4 이상
FortiAnalyzer 7.2 버전: 7.4.6 이상
FortiAnalyzer 7.0 버전: 7.4.13 이상
FortiAnalyzer 6.2 버전: 수정된 버전으로 업그레이드
FortiManager 7.4 버전: 7.4.3 이상
FortiManager 7.2 버전: 7.2.6 이상
FortiManager 7.0 버전: 7.2.13 이상
FortiManager 6.4 버전: 6.4.15 이상
CVE-2024-46668
FortiOS 7.4 버전: 7.4.5 이상
FortiOS 7.2 버전: 7.2.9 이상
FortiOS 7.0 버전: 7.0.15 이상
FortiOS 6.4 버전: 6.4.16 이상(업데이트 예정)
CVE-2024-46670
FortiOS 7.6 버전: 7.6.1 이상
FortiOS 7.4 버전: 7.4.5 이상
FortiOS 7.2 버전: 7.2.10 이상
CVE-2024-47571
FortiManager 7.4 버전: 7.4.1 이상
FortiManager 7.2 버전: 7.2.4 이상
FortiManager 7.0 버전: 7.0.9 이상
FortiManager 6.4 버전: 6.4.13 이상
CVE-2024-47572
FortiSOAR 7.4 버전: 7.4.2 이상
FortiSOAR 7.3 버전: 7.3.3 이상
FortiSOAR 7.2 버전: 수정된 버전으로 업그레이드
CVE-2024-50566
FortiManager Cloud 7.6 버전: 7.6.2 이상
FortiManager Cloud 7.4 버전: 7.4.5 이상
FortiManager Cloud 7.2 버전: 7.2.8 이상
FortiManager 7.6 버전: 7.6.2 이상
FortiManager 7.4 버전: 7.4.6 이상
FortiManager 7.2 버전: 7.2.9 이상
참고사이트
[1] Authentication bypass in Node.js websocket module
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
[2] EMS console login under brute force attack does not get locked
https://fortiguard.fortinet.com/psirt/FG-IR-23-476
[3] OS command injection
https://fortiguard.fortinet.com/psirt/FG-IR-24-061
[4] Out-of-bounds Write in sndproxy
https://fortiguard.fortinet.com/psirt/FG-IR-24-106
[5] Missing authentication for managed device configuration files
https://fortiguard.fortinet.com/psirt/FG-IR-24-135
[6 ]Arbitrary file write on GUI
https://www.fortiguard.com/psirt/FG-IR-24-152
[7] Multipart Form Data Denial of Service
https://www.fortiguard.com/psirt/FG-IR-24-219
[8] Out of bounds read in ipsec ike
https://fortiguard.fortinet.com/psirt/FG-IR-24-266
[9] Admin Account Persistence after Deletion
https://www.fortiguard.com/psirt/FG-IR-24-239
[10] Improper Neutralization of Formula Elements in a CSV File
https://fortiguard.fortinet.com/psirt/FG-IR-24-210
[11] OS Command Injection
https://www.fortiguard.com/psirt/FG-IR-24-463