Уязвимость веб-интерфейса управления операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy связана с возможностью переполнения буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение административного интерфейса (HTTP/HTTPS);
- внедрение механизма «белых» списков IP-адресов:
1. Для ограничения доступа к административному интерфейсу:
config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end
2. Создание разрешённой группы адресов
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
3. Создание локальной политики для ограничения доступа только предопределенной группой к интерфейсу управления (здесь: Port1):
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
4. При использовании портов по умолчанию создание соответствующего объекта службы для административного доступа GUI:
config firewall service custom
edit GUI_HTTPS
set tcp-portrange <admin-sport>
next
edit GUI_HTTP
set tcp-portrange <admin-port>
end
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-23-001
| Балл | 10 — критическая опасность |