ГлавнаяБаза уязвимостей БДУ → BDU:2019-02841
5средняя

BDU:2019-02841

Уязвимость веб-интерфейса операционной системы FortiOS, позволяющая нарушителю обойти проверку подлинности параметра cookies «APSCOOKIE»
Опубликовано: 2019-08-13
Описание

Уязвимость веб-интерфейса операционной системы FortiOS связана с отсутствием необходимого этапа шифрования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти проверку подлинности параметра cookies «APSCOOKIE», используемого для защиты информации, передаваемой в cookies и подставить собственное содержимое для осуществления запросов

Затрагиваемое ПО и версии
FortiOS (5.4.1)
Способ устранения

После перезагрузки МЭ FortiGate через вебинтерфейс устройства рекомендуется сменить системное время на сутки вперед, а затем вернуть к исходному. Для сертифицированных ПАК FotriGate (под управлением операционной системы FortiOS 5.4.1) необходимо исключить любую возможность управления устройством со стороны недоверенных АРМ (хостов), для чего:
1) Разрешить административный доступ только на интерфейсах, принадлежащих сети управления (GUI: в панели "Network" перейти в "Interfaces" и установить следующие значения: для параметра "Role" - "LAN", для параметра "Addressing Mode" - "Manual", для параметра "IP/Network Mask" – IP-адрес и маску подсети интерфейса управления, для параметра "IPv4" (поля "Administrative Access") – активировать "HTTPS", "SSH").
2) Ограничить доступ к управлению устройством только доверенными АРМ администраторов (GUI: в панели "System" перейти в "Administrators" и установить следующие значения: для параметра "Type " - "Local User", активировать "Restrict login to trusted hosts" и ввести IP-адреса доверенных хостов (АРМ администраторов) в полях "Ttrusted Host").
Также возможно исключить любую возможность управления устройством со стороны недоверенных АРМ (хостов):
- Для управления ПАК «FortiGate» должен использоваться специализированный порт MGMT (MGMT 1) либо порт 1 (в вариантах исполнения ПАК «FortiGate», для которых порт MGMT не обозначен).
- Каналы управления ПАК «FortiGate», расположенные в пределах контролируемой зоны, должны быть защищены организационно-техническими мерами.
- Управление ПАК «FortiGate» по каналам управления, выходящим за пределы контролируемой зоны, должны осуществляться только с применением методов и средств, устойчивых к пассивному и/или активному прослушиванию сети и сертифицированных в установленном порядке

Оценка CVSS
Балл5 — средняя опасность
Проверьте безопасность своего сайта и почты → Полная проверка домена