ГлавнаяБаза уязвимостей БДУ → BDU:2022-02331
7.8высокая

BDU:2022-02331

Уязвимость SSL-VPN-портала операционных систем FortiOS, позволяющая нарушителю получить ключ шифрования
Опубликовано: 2022-04-15
Описание

Уязвимость SSL-VPN-портала операционных систем FortiOS связана с использованием жестко закодированного криптографического ключа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить ключ шифрования

Затрагиваемое ПО и версии
FortiOS (7.0.0)FortiOS-6K7K (6.4.2)FortiOS (от 6.4.0 до 6.4.5 включительно)FortiOS (от 5.6.0 до 5.6.13 включительно)FortiOS (от 6.2.0 до 6.2.8 включительно)FortiOS (от 6.0.0 до 6.0.12 включительно)FortiOS-6K7K (до 6.2.6 включительно)
Способ устранения

Для сертифицированных ПАК «FortiGate»
Эксплуатация уязвимости невозможна, т.к. в сертифицированных ПАК «FortiGate» не применяются строгие алгоритмы шифрования, обеспечивающие реализацию функционала VPN/SSL (версии сертифицированных ПАК «FortiGate» - LENC,Low Encryption).

Для несертифицированных ПАК «FortiGate»
Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-21-051

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.fortiguard.com/psirt/FG-IR-21-051https://www.cybersecurity-help.cz/vdb/SB2021120714https://vuldb.com/ru/?id.187774
Проверьте безопасность своего сайта и почты → Полная проверка домена