Уязвимость BDU:2019-04699

Идентификатор: BDU:2019-04699.

Наименование уязвимости: Уязвимость операционной системы FortiOS, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость операционной системы FortiOS связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выдавая себя за LDAP-сервер
Уязвимое ПО: Операционная система Fortinet Inc. FortiOS до 6.2.0 включительно |

Наименование ОС и тип аппаратной платформы: FortiOS до 620 включительно |
Дата выявления: 26.07.2019.
CVSS 2.0: AV:A/AC:H/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,8)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,1)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
1. Для пользователей, использующих версии с 6.0.3 по 6.2.0, включение параметра CLI, который проверяет подлинность сервера LDAP. Этот параметр можно включить только в том случае, если установлены параметры secure и ca-cert сервера LDAP.
2. Для пользователей, использующих версии с 6.0.2 и ниже, отключение аутентификации LDAP.

Использование рекомендаций производителя:
https://fortiguard.com/psirt/FG-IR-19-037.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-5591. FG-IR-19-037.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.securitylab.ru/vulnerability/500179.php
https://www.cybersecurity-help.cz/vdb/SB2019072802?affChecked=1
https://fortiguard.com/psirt/FG-IR-19-037