Komunikat dotyczący krytycznej podatności w urządzeniach Fortigate

W dniu 08.02.2024 została ujawniona krytyczna podatność w urządzeniach Fortigate.

Dziura bezpieczeństwa może prowadzić do ataków na infrastrukturę sieciową podatność dotyczy SSL VPN, która umożliwia potencjalnie atakującym zdalne wykonanie kodu bez uwierzytelnienia poprzez odpowiednio przygotowane zapytanie HTTP.

Zalecamy natychmiastową aktualizację swoich urządzeń – a jeśli macie z tym jakikolwiek problem zespół inżynierów ITH jest do Waszej dyspozycji. 

Wszystkie urządzenia Fortigate zarządzane przez nasz zespół sieciowy i bezpieczeństwa zostały zaktualizowane natychmiast po pojawieniu się łatki bezpieczeństwa. Wszyscy nasi Klienci zostali również powiadomieni o podatności i istnieniu tej luki bezpieczeństwa – ZALECAMY jak najszybsze przeprowadzenie aktualizacji w celu zminimalizowania ryzyka ataków. 

W przypadku braku możliwości aktualizacji oprogramowania (np. ze względu na brak aktywnej licencji) jedynym sposobem zabezpieczenia Fortigate jest wyłączenie SSL VPN.  

Podatność na ataki dotyczy wszystkich urządzeń Fortigate, a jej CVSS zostało wycenione na 9.6. 

Przydatne linki: 

• https://www.fortiguard.com/psirt/FG-IR-24-029
• https://www.fortiguard.com/psirt/FG-IR-24-015
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21762
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23113
• https://sekurak.pl/krytyczna-podatnosc-rce-bez-uwierzytelnienia-na-urzadzeniach-z-fortios-latajcie-asap-fortigejty-lub-wylaczcie-ssl-vpn/

ITH w ramach linii produktowej ITH NaaS oferuje urządzenia Fortigate w formie abonamentowej  (zarówno fizyczne jak i wirtualne), łącznie z zarządzaniem. Opis usług znajduje się pod adresami: https://ith.eu/zarzadzany-firewall/ oraz https://ith.eu/zarzadzanie-siecia-przez-zespol-inzynierski/. 

Nasz zespół inżynierów sieciowych ITH Net oraz bezpieczeństwa ITH Security kontynuuje dbałość o bezpieczeństwo i integralność systemów IT naszych Klientów. 

Zespół sieciowy NOC ITH dostępny jest do Waszej dyspozycji, a dane kontaktowe publikujemy w serwisie https://ith.eu/kontakt/ 

ITH to ogólnopolski dostawca rozwiązań ICT dla biznesu. Podstawowe usługi oferowane przez ITH to dostęp do Internetu, telefonia, usługi data center oraz hosting i domeny. Innowacyjną usługą ITH jest budowa infrastruktury firmowej w formie usługi. Grupa ITH obsługuje łącznie ponad 10.000 klientów z całej Polski, a w jej skład wchodzi ITH, Hexerio – chmura publiczna oraz platforma hostingowa Kru.pl – hosting i domeny. Spółka siedzibę posiada w Warszawie, a wywodzi się z Krakowa gdzie aktualnie jest jednym z największych dostawców usług telekomunikacyjnych dla biznesu.