CVE-2019-6693

Fortinet FortiOS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-06-25

Официальное описание

Fortinet FortiOS contains a use of hard-coded credentials vulnerability that could allow an attacker to cipher sensitive data in FortiOS configuration backup file via knowledge of the hard-coded key.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-6693 представляет собой использование жестко закодированного криптографического ключа (Hard-coded Credentials) в операционной системе FortiOS.

Проблема заключается в том, что при создании резервной копии конфигурации (Configuration Backup) без указания пользовательского пароля для шифрования, система использует статический ключ, встроенный в код прошивки. Злоумышленник, знающий этот ключ, может расшифровать файл конфигурации, получив доступ к чувствительным данным: хешам паролей администраторов, ключам VPN, конфигурации интерфейсов и другим критическим параметрам безопасности.

Как исправить

Основным способом устранения уязвимости является обновление микропрограммы (firmware) до версий, в которых алгоритм шифрования резервных копий был изменен или принудительно требует ввода пользовательского секрета.

  1. Проверьте текущую версию FortiOS:
get system status
  1. Обновите FortiOS до одной из следующих (или более новых) версий:
  2. FortiOS 6.0.5 и выше

  3. FortiOS 6.2.0 и выше

  4. После обновления выполните перегенерацию бэкапов, используя обязательное шифрование с уникальным паролем:

execute backup config flash [filename]

(При выполнении команды через GUI или CLI система теперь требует ввода пароля для защиты данных).

Временные меры

Если немедленное обновление невозможно, необходимо строго соблюдать следующие правила для минимизации риска:

  1. Принудительное шифрование бэкапов: Всегда устанавливайте пароль при создании резервной копии. Это заменяет стандартный жестко закодированный ключ на ваш уникальный ключ.
execute backup config tftp [filename] [tftp_server_ip] [your_password]

  1. Ограничение доступа к файлам конфигурации: Храните файлы бэкапов только в защищенных хранилищах с ограниченным доступом. Не передавайте файлы конфигурации по незащищенным каналам (HTTP, FTP).

  2. Контроль доступа (RBAC): Ограничьте права администраторов, чтобы только доверенный персонал (Super_Admin) имел право на выгрузку конфигурации.

config system accprofile
edit "Limited_Admin"
set config-file read
next
end
  1. Использование VDOM: Если возможно, изолируйте критические сегменты сети с помощью виртуальных доменов (VDOM), чтобы ограничить область потенциальной компрометации данных из общего файла конфигурации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей