ספקית פתרונות אבטחת הרשת Fortinet תיקנה באג קריטי בתוכנת FortiOS ו- FortiProxy SSL-VPN שלה. על פי דיווחים איפשרה הפגיעות ביצוע קוד מרחוק והתגלתה לראשונה על ידי אנליסט אבטחה בחברת Lexfo. תיקוני האבטחה נכללו בגרסאות הקושחה של FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 ו- 7.2.5.
מעניין לציין כי הערות תיקוני הגירסאות לא הזכירו בתחילה את הפגיעות הקריטית של SSL-VPN RCE. עם זאת רמזו אנשי מקצוע ומנהלי אבטחה, כולל צ'רלס פול מ- Lexfo, שהעדכונים הללו טיפלו בשקט בפגם, שהיה אמור להיחשף ב- 13 ביוני 2023.
"Fortinet נאלצה להגיב למספר נקודות תורפה לאחרונה, וזו עוד דוגמה טובה", אמר מייק פרקין – מהנדס טכני בכיר ב- Vulcan Cyber. לדברי מומחה האבטחה, אין זה נדיר שמשחררים תיקון כדי לטפל בפגיעות לפני שמכירים בפומבי בקיומה. נכון לעכשיו, עדיין לא ברור אם הפגיעות נוצלה בפועל או שהידע עליה חורג מעבר לממצאי המחקר הראשוניים.
"בעוד שחוקרי הסייבר הצליחו ליצור הוכחה לקונספט, אין זה תמיד מתורגם לניצול בפועל", הוסיף פרקין. "עם זאת, ברגע שה- PoC [הוכחת הקונספט] יפורסם בציבור, סביר כי פושעי סייבר ינסו ליצור מתקפות סייבר כדי למנף את הפגם, מה שאומר שהמשתמשים של Fortinet צריכים לתקן את המערכות שלהם ברגע שהתיקונים יהיו זמינים."
