背景图片取自Milad Fakurian on Unsplash

美国网路安全暨基础架构安全管理署（Cybersecurity and Infrastructure Security Agency，CISA）本周公告，防火墙产品Fortinet一项已修补8个月的重大风险漏洞已发生滥用事件，呼吁用户更新到最新版本。

遭到滥用的漏洞为CVE-2024-23113，它是一个存在FortiOS fgfmd精灵程序的格式化字串漏洞，攻击者可透过操弄输入的讯息格式触发，而在未经授权情况下在FortiOS上执行任意程序码或指令。本漏洞风险值达9.8。Fortinet已在今年2月修补完成。

CVE-2024-23113影响Fortinet多项产品，包括网路防火墙作业系统FortiOS、网页安全闸道FortiProxy、特权存取管理系统FortiPAM及交换器集中管理平台FortiSwitch Manager。CISA呼吁美国联邦政府单位应立即採取防护措施。

CVE-2024-23113是CISA新增入已知被滥用漏洞名单的三项漏洞之一。另二项为Ivanti服务的SQL程序码注入及OS指令注入漏洞，业者已在本周稍早公告透过10月份更新修补。