Уязвимость демона cw_acd локальной платформы управления FortiSwitchManager и операционных систем FortiOS связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированных запросов
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности доступа к сервису «fabric» путем выполнения следующих команд:
config system interface
edit "port1"
set allowaccess fabric ssh https
next
end
to :
config system interface
edit "port1"
set allowaccess ssh https
next
end;
- ограничение возможности доступа к демону capwap путем выполнения следующих команд:
config firewall service custom
edit "CAPWAP-CONTROL"
set udp-portrange 5246-5249
next
end
config firewall addrgrp
edit "CAPWAP_DEVICES_IPs"
set member "my_allowed_addresses"
end
config firewall local-in-policy
edit 1 (allow from trusted devices)
set intf "port1" (where fabric is enabled)
set srcaddr "CAPWAP_DEVICES_IPs"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action accept
next
edit 2 (block everyone else)
set intf "port1" (where fabric is enabled)
set srcaddr "all"
set dstaddr "all"
set service "CAPWAP-CONTROL"
set schedule "always"
set action deny
next
end;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети с целью ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).
Использование рекомендаций:
https://fortiguard.fortinet.com/psirt/FG-IR-25-084
| Балл | 7.6 — высокая опасность |