CVE-2019-5591

Fortinet FortiOS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Fortinet FortiOS contains a default configuration vulnerability that may allow an unauthenticated attacker on the same subnet to intercept sensitive information by impersonating the Lightweight Directory Access Protocol (LDAP) server.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в настройках по умолчанию позволяет злоумышленнику, находящемуся в той же подсети, что и устройство FortiOS, провести атаку типа "Man-in-the-Middle" (MITM) на LDAP-трафик.

  • Механизм: Злоумышленник может подменить собой LDAP-сервер, на который настроена аутентификация на устройстве FortiGate (например, для входа администраторов или пользователей VPN).
  • Результат: Перехват учетных данных (логинов и паролей), передаваемых между FortiGate и настоящим LDAP-сервером.

Как исправить

Основной метод — обновление прошивки FortiOS до версии, в которой уязвимость устранена.

  1. Определите текущую версию FortiOS: bash get system status (Ищите строку Version: в выводе команды).

  2. Обновите FortiOS до одной из исправленных версий:

    • Для ветки 6.0: Обновитесь до 6.0.5 или выше.
    • Для ветки 6.2: Обновитесь до 6.2.2 или выше.
    • Для ветки 5.6: Обновитесь до 5.6.10 или выше.

    Процедура обновления: * Скачайте корректную исправленную прошивку с портала поддержки Fortinet. * Загрузите файл на устройство через веб-интерфейс (System -> Firmware) или CLI. * Установите прошивку и перезагрузите устройство.

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте доступ к LDAP-трафику:

    • Убедитесь, что FortiGate и LDAP-сервер находятся в защищенной, изолированной сети (VLAN/подсети), недоступной для недоверенных пользователей и устройств.
    • Используйте политики межсетевого экрана для строгого ограничения доступа к портам LDAP (обычно TCP 389 и 636) только с IP-адреса FortiGate.

  2. Используйте защищенный LDAP (LDAPS):

    • Настройте FortiGate на использование LDAP поверх SSL/TCP (порт 636) вместо обычного LDAP (порт 389).
    • В конфигурации LDAP-сервера на FortiGate явно укажите Server Type как LDAPS и убедитесь, что сертификат LDAP-сервера валиден и доверен.

    Пример CLI-команды для проверки/настройки типа сервера: bash config user ldap edit "your-ldap-server-name" set server "your.ldap.server.ip" set port 636 set type regular set username "CN=bind_user,DC=domain,DC=local" # Убедитесь, что для LDAPS используется secure-соединение next end Для type укажите regular для простого LDAP или fortinet-resolver для FortiAuthenticator. Ключевой параметр — порт 636.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей