Повідомлення про критичну уразливість у пристроях Fortigate

Критична уразливість в пристроях Fortigate була виявлена 08.02.2024.

Дірка в безпеці може призвести до атак на мережеву інфраструктуру Уразливість стосується SSL VPN, що дозволяє потенційним зловмисникам віддалено виконувати код без аутентифікації за допомогою правильно складеного HTTP-запиту.

Ми рекомендуємо негайно оновити ваші пристрої – а якщо у вас виникнуть з цим проблеми, команда інженерів ITH до ваших послуг.

Всі пристрої Fortigate, якими керує наша команда з питань мережі та безпеки, були оновлені одразу після виходу патчу безпеки. Всі наші клієнти також були повідомлені про вразливість та існування цієї дірки в безпеці – ми РЕКОМЕНДУЄМО вам оновитися якомога швидше, щоб мінімізувати ризик атак.

Якщо програмне забезпечення неможливо оновити (наприклад, через відсутність активної ліцензії), єдиний спосіб захистити Fortigate – вимкнути SSL VPN.

Уразливість стосується всіх пристроїв Fortigate, а її CVSS оцінено в 9.6.

Корисні посилання:

• https://www.fortiguard.com/psirt/FG-IR-24-029
• https://www.fortiguard.com/psirt/FG-IR-24-015
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21762
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23113
• https://sekurak.pl/krytyczna-podatnosc-rce-bez-uwierzytelnienia-na-urzadzeniach-z-fortios-latajcie-asap-fortigejty-lub-wylaczcie-ssl-vpn/

ITH, як частина своєї лінійки продуктів ITH NaaS, пропонує прилади Fortigate на основі підписки (як фізичної, так і віртуальної), включаючи управління. З описом послуг можна ознайомитися на https://ith.eu/zarzadzany-firewall/ та https://ith.eu/zarzadzanie-siecia-przez-zespol-inzynierski/.

Наша команда мережевих інженерів ITH Net та ITH Security продовжує забезпечувати безпеку та цілісність ІТ-систем наших клієнтів.

Команда мережі NOC ITH доступна для вас, і ми публікуємо контактну інформацію на сайті https://ith.eu/kontakt/.

ITH є національним постачальником ІКТ-рішень для бізнесу. Основними послугами, які пропонує ITH, є доступ до Інтернету, телефонія, послуги дата-центру, хостинг та домени. Інноваційною послугою ITH є побудова інфраструктури компанії у вигляді сервісу. Група ITH обслуговує загалом понад 10 000 клієнтів з усієї Польщі і включає в себе ITH, Hexerio – публічну хмару та хостингову платформу Kru.pl – хостинг та домени. Штаб-квартира компанії знаходиться у Варшаві, а родом вона з Кракова, де в даний час є одним з найбільших постачальників телекомунікаційних послуг для бізнесу.