Уязвимость BDU:2022-02331

Дата: 25.01.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-02331.

Наименование уязвимости: Уязвимость SSL-VPN-портала операционных систем FortiOS, позволяющая нарушителю получить ключ шифрования.

Описание уязвимости: Уязвимость SSL-VPN-портала операционных систем FortiOS связана с использованием жестко закодированного криптографического ключа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить ключ шифрования
Уязвимое ПО: Операционная система Fortinet Inc. FortiOS до 6.2.10 | Операционная система Fortinet Inc. FortiOS до 7.0.0 | Операционная система Fortinet Inc. FortiOS до 6.4.6 | Операционная система Fortinet Inc. FortiOS до 6.0.13 | Операционная система Fortinet Inc. FortiOS до 5.6.14 | Операционная система Fortinet Inc. FortiOS-6K7K до 6.2.7 | Операционная система Fortinet Inc. FortiOS-6K7K 6.4.2 |

Наименование ОС и тип аппаратной платформы: FortiOS до 6210 | FortiOS до 700 | FortiOS до 646 | FortiOS до 6013 | FortiOS до 5614 | FortiOS-6K7K до 627 | FortiOS-6K7K 642 |
Дата выявления: 25.01.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Для сертифицированных ПАК «FortiGate»
Эксплуатация уязвимости невозможна, т.к. в сертифицированных ПАК «FortiGate» не применяются строгие алгоритмы шифрования, обеспечивающие реализацию функционала VPN/SSL (версии сертифицированных ПАК «FortiGate» — LENC,Low Encryption).

Для несертифицированных ПАК «FortiGate»
Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-21-051
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-26108. SB2021120714. FG-IR-21-051.
Прочая информация: Операционные системы FortiOS уязвимы только при включенном SSL VPN.
Тип ошибки CWE: CWE-321
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.fortiguard.com/psirt/FG-IR-21-051
https://www.cybersecurity-help.cz/vdb/SB2021120714
https://vuldb.com/ru/?id.187774

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.