We wtorek 13 sierpnia dwie znane firmy ogłosiły poprawki. Fortinet i Zoom usuwają wiele luk w zabezpieczeniach – w tym, w produktach Zoom, luki o dużej wadze prowadzące do ujawnienia informacji i eskalacji uprawnień.
Fortinet
Fortinet, o którym na Kapitanie piszemy całkiem często, udostępnił łaty dla trzech usterek bezpieczeństwa wpływających na FortiOS, FortiAnalyzer, FortiManager, FortiProxy, FortiPAM i FortiSwitchManager, w tym poprawił dwie luki o średnim i niskim poziomie ważności.
Problemy o średniej wadze – jeden wpływający na FortiOS, drugi na FortiAnalyzer i FortiManager – mogą pozwolić atakującym na ominięcie systemu sprawdzania integralności plików i modyfikację haseł administratora poprzez kopię zapasową konfiguracji urządzenia.
Trzecia luka, która wpływa na FortiOS, FortiProxy, FortiPAM i FortiSwitchManager GUI, „może pozwolić atakującym na ponowne wykorzystanie sesji internetowych po wylogowaniu się z GUI, jeżeli uda im się zdobyć wymagane dane uwierzytelniające” – zauważa firma w poradniku.
Fortinet nie wspomina o wykorzystaniu którejkolwiek z tych luk w atakach. Dodatkowe informacje można znaleźć na stronie z doradztwem PSIRT firmy.
Zoom
Zoom równie często gości na naszych łamach.
We wtorek firma ogłosiła łatki dla piętnastu luk w swoich produktach, w tym dwóch o wysokim stopniu ważności.
Najpoważniejszy z tych błędów, sklasyfikowany jako CVE-2024-39825 (wynik CVSS 8,5), wpływa na aplikacje Zoom Workplace na komputery stacjonarne i urządzenia mobilne oraz na klientów Room dla systemów Windows, macOS i iPad. Może pozwolić uwierzytelnionemu atakującemu na eskalację uprawnień w sieci.
Drugi problem o wysokim poziomie ważności, CVE-2024-39818 (wynik CVSS 7,5), wpływa na aplikacje Zoom Workplace i pakiety SDK Meeting na komputery stacjonarne i urządzenia mobilne i może umożliwiać uwierzytelnionym użytkownikom dostęp do zastrzeżonych informacji przez sieć.
We wtorek Zoom opublikował także siedem porad szczegółowo opisujących defekty bezpieczeństwa o średniej wadze, mające wpływ na aplikacje Zoom Workplace, pakiety SDK, klientów Room, kontrolery Room i SDK Meeting na komputery stacjonarne i urządzenia mobilne.
Pomyślne wykorzystanie tych luk może umożliwić uwierzytelnionym podmiotom ujawnienie informacji, wywołanie ataku typu „odmowa usługi” (DoS) i eskalację uprawnień.
Użytkownikom Zoom zaleca się aktualizację do najnowszych wersji aplikacji, których dotyczy problem, mimo braku informacji o wykorzystywaniu luk w praktycznych atakach. Dodatkowe informacje można znaleźć na stronie biuletynów bezpieczeństwa Zoom.
