Уязвимость обработчика страницы /login_disconnect/current_admins вебинтерфейса операционной системы FortiOS связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с использованием специально сформированного POST-запроса
Для сертифицированных ПАК FotriGate (под управлением операционной системы FortiOS 5.4.1) необходимо исключить любую возможность управления устройством со стороны недоверенных АРМ (хостов), для чего:
1) Разрешить административный доступ только на интерфейсах, принадлежащих сети управления (GUI: в панели "Network" перейти в "Interfaces" и установить следующие значения: для параметра "Role" - "LAN", для параметра "Addressing Mode" - "Manual", для параметра "IP/Network Mask" – IP-адрес и маску подсети интерфейса управления, для параметра "IPv4" (поля "Administrative Access") – активировать "HTTPS", "SSH").
2) Ограничить доступ к управлению устройством только доверенными АРМ администраторов (GUI: в панели "System" перейти в "Administrators" и установить следующие значения: для параметра "Type " - "Local User", активировать "Restrict login to trusted hosts" и ввести IP-адреса доверенных хостов (АРМ администраторов) в полях "Ttrusted Host").
Также возможно исключить любую возможность управления устройством со стороны недоверенных АРМ (хостов):
- Для управления ПАК «FortiGate» должен использоваться специализированный порт MGMT (MGMT 1) либо порт 1 (в вариантах исполнения ПАК «FortiGate», для которых порт MGMT не обозначен).
- Каналы управления ПАК «FortiGate», расположенные в пределах контролируемой зоны, должны быть защищены организационно-техническими мерами.
- Управление ПАК «FortiGate» по каналам управления, выходящим за пределы контролируемой зоны, должны осуществляться только с применением методов и средств, устойчивых к пассивному и/или активному прослушиванию сети и сертифицированных в установленном порядке
| Балл | 3.5 — средняя опасность |