Суть уязвимости

Уязвимость (CVE-2018-13383) — это переполнение кучи (heap buffer overflow) в компоненте SSL VPN веб-сервиса FortiOS и FortiProxy. Атакующий, отправив специально сформированный запрос к SSL VPN-порталу, может вызвать сбой службы (Denial of Service), что приведет к разрыву VPN-сессий для аутентифицированных пользователей.

Как исправить

Установите фиксированную версию прошивки для вашего устройства. Обновление является единственным надежным решением.

Для FortiOS: * Версии 6.0: обновитесь до 6.0.5 или выше. * Версии 5.6: обновитесь до 5.6.8 или выше. * Версии 5.4: обновитесь до 5.4.10 или выше.

Для FortiProxy: * Обновитесь до версии 2.0.0 или выше.

Процедура обновления: 1. Скачайте корректную версию прошивки с портала поддержки Fortinet. 2. Загрузите файл на устройство через веб-интерфейс или CLI. 3. Установите обновление и перезагрузите устройство.

# Пример загрузки и установки через CLI FortiGate (замените <filename> на актуальное имя файла)
execute restore image tftp <filename> <tftp-server-ip>
execute reboot

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

1. Ограничьте доступ к SSL VPN порталу:

   • Настройте политики на внешнем межсетевом экране (если он есть перед FortiGate/FortiProxy), чтобы разрешать подключения к SSL VPN только с доверенных IP-адресов (например, из корпоративной сети).
   • Используйте функцию Local in Policy на самом устройстве Fortinet для аналогичного ограничения.

2. Отключите SSL VPN (крайняя мера):

   • Если функционал VPN не критичен, временно отключите SSL VPN веб-портал. ```bash

   В CLI FortiGate (пример для версии 6.x)

   config vpn ssl settings set source-interface "wan1" set source-address "all" set default-port 10443 set idle-timeout 300 set auth-timeout 5 # Ключевая команда для отключения веб-портала: set status down end ``` * Внимание: Это полностью отключит возможность новых подключений по SSL VPN.