Уязвимость веб-интерфейса операционной системы FortiOS связана с отсутствием проверки подлинности запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую подделку запросов к страницам /login_disconnect/disconnect_admins или /api/v2/monitor/system/config/ backup? destination= file&scope =global
При старте администрирования МЭ FortiGate через веб-интерфейс использовать веб-браузер с «очищенным» кэшем. После завершения работ «разлогиниваться» в веб-интерфейсе МЭ FortiGate. Во время всего сеанса работы с вебинтерфейсом МЭ FortiGate в веб-браузере запрещается открывать любые другие вкладки с веб-страницами или ограничить доступ к сети интернет на время администрирования МЭ FortiGate через веб-интерфейс.
Для сертифицированных ПАК FotriGate (под управлением операционной системы FortiOS 5.4.1) необходимо исключить любую возможность управления устройством со стороны недоверенных АРМ (хостов), для чего:
1) Разрешить административный доступ только на интерфейсах, принадлежащих сети управления (GUI: в панели "Network" перейти в "Interfaces" и установить следующие значения: для параметра "Role" - "LAN", для параметра "Addressing Mode" - "Manual", для параметра "IP/Network Mask" – IP-адрес и маску подсети интерфейса управления, для параметра "IPv4" (поля "Administrative Access") – активировать "HTTPS", "SSH").
2) Ограничить доступ к управлению устройством только доверенными АРМ администраторов (GUI: в панели "System" перейти в "Administrators" и установить следующие значения: для параметра "Type " - "Local User", активировать "Restrict login to trusted hosts" и ввести IP-адреса доверенных хостов (АРМ администраторов) в полях "Ttrusted Host").
Также возможно исключить любую возможность управления устройством со стороны недоверенных АРМ (хостов):
- Для управления ПАК «FortiGate» должен использоваться специализированный порт MGMT (MGMT 1) либо порт 1 (в вариантах исполнения ПАК «FortiGate», для которых порт MGMT не обозначен).
- Каналы управления ПАК «FortiGate», расположенные в пределах контролируемой зоны, должны быть защищены организационно-техническими мерами.
- Управление ПАК «FortiGate» по каналам управления, выходящим за пределы контролируемой зоны, должны осуществляться только с применением методов и средств, устойчивых к пассивному и/или активному прослушиванию сети и сертифицированных в установленном порядке
| Балл | 5.8 — средняя опасность |