关于Fortinet FotiOS & FortiProxy拒绝服务漏洞（CVE-2023-33306）的安全预警

一、基本情况

Fortinet（飞塔）是一家全球知名的网络安全产品和安全解决方案提供商，其产品包括防火墙和VPN、防病毒软件、入侵防御系统和终端安全组件等。

FortiOS是专用于FortiGate网络安全平台上的安全操作系统，该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能；FortiProxy是一种安全的网络代理，通过结合Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术来保护员工免受网络攻击。

二、漏洞描述

6月19日，Fortinet 修复了FotiOS 和 FortiProxy中的拒绝服务漏洞（CVE-2023-33306），该漏洞的CVSSv3评分为6.4。

由于FotiOS & FortiProxy SSL-VPN 中存在空指针取消引用漏洞，经过身份验证的远程威胁者可通过特制请求触发SSL-VPN服务崩溃，造成拒绝服务。

三、影响范围

Fortinet FortiOS 版本：7.2.0 - 7.2.4

Fortinet FortiOS 版本：7.0.0 - 7.0.10

Fortinet FortiProxy 版本：7.2.0 - 7.2.2

Fortinet FortiProxy 版本：7.0.0 - 7.0.8

四、修复建议

目前该漏洞已经修复，受影响用户可更新到以下版本：

Fortinet FortiOS 版本>=7.4.0

Fortinet FortiOS版本>=7.2.5

Fortinet FortiOS版本>=7.0.11

Fortinet FortiOS版本>=6.4.13

Fortinet FortiProxy 版本>=7.2.4

Fortinet FortiProxy 版本>=7.2.3

Fortinet FortiProxy 版本>=7.0.9

Fortinet FortiProxy 版本>=7.0.10

下载链接：

https://docs.fortinet.com/product/fortigate/7.4

https://docs.fortinet.com/product/fortiproxy/7.2

五、参考链接

https://fortiguard.fortinet.com/psirt/FG-IR-23-015

https://nvd.nist.gov/vuln/detail/CVE-2023-33306