FortiOS – podatność w funkcjonalności VPN
Wczoraj został opublikowany przez producenta komunikat dotyczący krytycznej podatności w usłudze VPN działającej w różnych wersjach systemu operacyjnego FortiOS. Pod jego kontrolą pracują znane i lubiane przez polskich administratorów urządzenia FortiGate. Podatność daje możliwość zdalnemu, nieuwierzytelnionemu atakującemu wykonanie arbitralnego kodu lub polecenia za pomocą specjalnie spreparowanych żądań HTTP.
Rozwiązanie tymczasowe, które proponuje producent, to wyłączenie w FortiOS funkcjonalności VPN SSL (wyłączenie trybu webowego NIE stanowi rozwiązania problemu).
Uwaga: Podatność może być potencjalnie wykorzystywana w środowiskach produkcyjnych.
Poniżej przedstawiamy listę wersji FortiOS wraz z konkretnymi wariantami i informacją o ich podatności oraz rozwiązaniu.
FortiOS 7.6
Niedotyczy
Niewymagane
FortiOS 7.4
7.4.0 do 7.4.2
Aktualizacja do 7.4.3 lub wyższej
FortiOS 7.2
7.2.0 do 7.2.6
Aktualizacja do 7.2.7 lub wyższej
FortiOS 7.0
7.0.0 do 7.0.13
Aktualizacja do 7.0.14 lub wyższej
FortiOS 6.4
6.4.0 do 6.4.14
Aktualizacja do 6.4.15 lub wyższej
FortiOS 6.2
6.2.0 do 6.2.15
Aktualizacja do 6.2.16 lub wyższej
FortiOS 6.0
6.0 wszystkie wersje
Migracja do poprawionej wersji