Skip Ribbon Commands
Skip to main content

Cảnh báo lỗ hổng bảo mật trên sản phẩm FortiWeb

Thông tin chỉ đạo, điều hành Ý kiến chỉ đạo, điều hành của thủ trưởng cơ quan  
Cảnh báo lỗ hổng bảo mật trên sản phẩm FortiWeb
Nhằm tăng cường công tác bảo đảm an toàn, an ninh thông tin trong các cơ quan hành chính Nhà nước, đặc biệt là bảo vệ các hệ thống thông tin các cơ quan trên địa bàn tỉnh, ngày 12/01/2021, Sở Thông tin và Truyền thông ban hành Công văn số 22/STTTT-BCVTCNTT về việc cảnh báo lỗ hổng bảo mật trên sản phẩm FortiWeb.

Theo đó, Sở Thông tin và Truyền thông đề nghị các cơ quan, đơn vị: Rà soát xác minh hệ thống web có sử dụng FortiWeb để phát hiện và xử lý kịp thời các lỗ hổng bảo mật, đặc biệt là các lỗ hổng CVE-2020-29015, CVE-2020-29019, CVE-2020-29018, CVE-2020-29016; Cập nhật bản vá hoặc khắc phục lỗ hổng bảo mật đồng thời thường xuyên thực hiện kiểm tra đánh giá, bảo đảm an toàn thông tin; Tăng cường theo dõi giám sát hệ thống đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức chuyên trách về an toàn để phát hiện kịp thời các nguy cơ tấn công mạng.

Đầu mối liên hệ, hỗ trợ: Sở Thông tin và Truyền thông (Trung tâm Công nghệ thông tin và Truyền thông - Bộ phận thường trực Đội Ứng cứu sự cố an toàn thông tin mạng tỉnh Hà Nam). Điện thoại: 0226.3846333. Email: ttcntt@hanam.gov.vn; Trung tâm Giám sát an toàn thông tin mạng quốc gia (NCSC), Cục An toàn thông tin. Điện thoại di động: 02432091616. Email: ais@mic.gov.vn./.

Thông tin các lỗ hổng và cách khắc phục

1. CVE-2020-29015

- Mức độ: trung bình (CVSS: 6.4)

- Lỗ hổng tồn tại trong giao diện người dùng của FortiWeb, cho phép đối tượng tấn công chèn và thực thi mã từ xa, tấn công SQL injection. Khai thác lỗ hổng bảo mật này cho phép đối tượng tấn công đọc, xóa, sửa đổi dữ liệu, chiếm quyền kiểm soát hệ thống ứng dụng mục tiêu.

- Ảnh hưởng: FortiWeb phiên bản

- Giải pháp: nâng cấp lên phiên bản >6.3.8 và >6.2.4

Truy cập tại: https://support.fortinet.com/

2. CVE-2020-29019

- Mức độ: trung bình (CVSS:6.4)

- Lỗ hổng trong FortiWeb cho phép đối tượng tấn công chèn và thực thi mã từ xa, làm tràn bộ đệm.

- Ảnh hưởng: phiên bản <6.2.3

- Giải pháp: nâng cấp lên phiên bản > 6.3.8 và >6.2.4

Truy cập tại: https://support.fortinet.com/

3. CVE-2020-29018

- Mức độ: trung bình (CVSS: 5.3)

- Lỗ hổng cho phép đối tượng tấn công chèn và thực thi mã tùy ý, đánh cắp thông tin dữ liệu nhạy cảm.

- Ảnh hưởng: phiên bản < 6.3.5

- Giải pháp: nâng cấp lên phiên bản > 6.3.6

Truy cập tại: https://support.fortinet.com/

4. CVE-2020-29016

- Mức độ: trung bình (CVSS: 6.4)

- Lỗ hổng cho phép đối tượng tấn công chèn và thực thi mà tùy ý, làm tràn bộ đệm.

Truy cập tại: https://support.fortinet.com/