Уязвимость SSL VPN веб-портала операционной системы FortiOS существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к системным файлам, путем отправки специально сформированного HTTP-запроса
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Полное отключение службы IPSEC-VPN и SSL-VPN (как в веб-режиме, так и в туннельном режиме).
2. Выполнение смены пароля для всех учетных записей.
3. Включение многофакторной аутентификации.
Использование рекомендаций:
https://fortiguard.com/psirt/FG-IR-18-384
| Балл | 7.8 — высокая опасность |