CVE-2018-13374

Fortinet FortiOS and FortiADC

ВЕРОЯТНОСТЬ 3.8%
Дата обнаружения

2022-09-08

Официальное описание

Fortinet FortiOS and FortiADC contain an improper access control vulnerability that allows attackers to obtain the LDAP server login credentials configured in FortiGate by pointing a LDAP server connectivity test request to a rogue LDAP server.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-13374 представляет собой уязвимость недостаточного контроля доступа (Improper Access Control) в механизме проверки подключения к LDAP-серверу.

Проблема заключается в том, что администратор с низкими привилегиями или злоумышленник, имеющий доступ к веб-интерфейсу управления, может инициировать запрос на проверку связи с произвольным LDAP-сервером. Если атакующий укажет адрес подконтрольного ему (вредоносного) LDAP-сервера, FortiOS/FortiADC отправит на него запрос, содержащий учетные данные (логин и пароль) в открытом виде или в формате, легко поддающемся расшифровке, которые были настроены для легитимной интеграции с LDAP. Это позволяет скомпрометировать сервисную учетную запись, используемую для аутентификации пользователей.

Как исправить

Основным и наиболее надежным способом устранения уязвимости является обновление микропрограммы (firmware) до версий, в которых данная ошибка была исправлена производителем.

Для FortiOS: Необходимо обновиться до следующих версий (или более новых веток): * FortiOS 6.0.1 и выше * FortiOS 5.6.4 и выше

Для FortiADC: Необходимо обновиться до следующих версий: * FortiADC 4.4.4 и выше * FortiADC 5.0.0 и выше

Процедура обновления через CLI (пример для FortiOS):

execute restore config tftp <filename> <tftp_ipv4>

Примечание: Рекомендуется выполнять обновление через Web GUI в разделе System -> Firmware для автоматической проверки целостности образа.

Временные меры

Если немедленное обновление невозможно, следует применить следующие меры для снижения риска:

  1. Ограничьте доступ к административному интерфейсу (HTTPS/HTTP) FortiGate/FortiADC, разрешив подключения только с доверенных IP-адресов (Trusted Hosts).
config system admin
    edit <administrator_name>
        set setsettrusthost1 <trusted_ip_mask>
    next
end

  1. Используйте протокол LDAPS (LDAP over SSL/TLS) для всех существующих конфигураций, чтобы минимизировать передачу данных в открытом виде, хотя это не устраняет саму возможность отправки запроса на подконтрольный сервер.

  2. Проведите аудит учетных записей администраторов и удалите неиспользуемые профили, а также ограничьте права доступа (RBAC), чтобы минимизировать круг лиц, имеющих доступ к разделу конфигурации User & Device.

  3. Настройте мониторинг сетевого трафика на предмет исходящих LDAP-запросов (порт 389 и 636) к неизвестным или внешним IP-адресам со стороны интерфейса управления FortiGate.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей