Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Grave Vulnerabilità in FortiOS

Fortinet  FortiOS   martedì, 11 giugno 2019

È stata recentemente resa nota l’esistenza di una vulnerabilità di gravità elevata (CVE-2018-13382) nel sistema operativo FortiOS, che equipaggia gli apparati di sicurezza prodotti dalla società Fortinet, molto diffusi in piccole e medie aziende e in realtà Enterprise.

Come segnalato al CERT Nazionale dalla società Yoroi, la problematica è causata da gravi lacune nella gestione delle autorizzazioni utente all’interno dei moduli SSL VPN (web-mode e tunnel-mode), attraverso le quali un attaccante remoto non autenticato può effettuare un cambio password arbitrario alle utenze VPN locali configurate nel sistema, prendendone il controllo per abusarne al fine di ottenere accesso alle reti interne.

Risultano affette da questa vulnerabilità le seguenti versioni di FortiOS:

  • FortiOS dalla versione 6.0.0 alla 6.0.4
  • FortiOS dalla versione 5.6.0 alla 5.6.8
  • FortiOS dalla versione 5.4.1 alla 5.4.10

Per risolvere questa vulnerabilità è necessario aggiornare FortiOS alle versioni 5.4.11, 5.6.9, 6.0.5, 6.2.0 o successive.

Per via della potenziale esposizione su Internet dei dispositivi affetti e degli accessi che eventuali attaccanti di rete otterrebbero a seguito dello sfruttamento della criticità in oggetto, si raccomanda di pianificare l’installazione di tali aggiornamenti al più presto. Qualora non fosse possibile applicare tali patch, si suggerisce di valutare la disabilitazione dei servizi VPN o quantomeno la configurazione di utenze VPN remote basate sui protocolli LDAP o RADIUS.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti e sulle possibili contromisure, si consiglia di consultare il seguente bollettino di sicurezza di Fortinet (in Inglese):