CVE-2021-44168

Fortinet FortiOS

ВЕРОЯТНОСТЬ 1.1%
Дата обнаружения

2021-12-10

Официальное описание

Fortinet FortiOS "execute restore src-vis" downloads code without integrity checking, allowing an attacker to arbitrarily download files.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в команде execute restore src-vis в веб-интерфейсе FortiOS (SSL-VPN). Атакующий с правами администратора может использовать эту команду для загрузки произвольных файлов на устройство без проверки их целостности и происхождения. Это может привести к выполнению вредоносного кода и полному компрометированию системы.

Как исправить

Установите патч, предоставленный Fortinet. Обновите FortiOS до одной из исправленных версий:

  • FortiOS 6.4.x: Обновитесь до версии 6.4.9 или выше.
  • FortiOS 6.2.x: Обновитесь до версии 6.2.11 или выше.
  • FortiOS 6.0.x: Обновитесь до версии 6.0.15 или выше.
  • FortiOS 7.0.x: Версия 7.0.2 и выше уже содержит исправление.

Процедура обновления: 1. Скачайте корректную исправленную версию прошивки с портала поддержки Fortinet. 2. Загрузите файл прошивки на устройство FortiGate через веб-интерфейс или CLI. 3. Установите прошивку и перезагрузите устройство.

Пример через CLI (после загрузки файла):

execute restore image <имя_файла_прошивки>.out

После выполнения команды система перезагрузится.

Временное решение

Если немедленное обновление невозможно, строго ограничьте доступ к веб-интерфейсу управления (HTTPS) и интерфейсу SSL-VPN.

  1. Ограничьте доступ по IP-адресам: Настройте политики безопасности (Local in Policy), разрешающие подключение к административным интерфейсам только с доверенных IP-адресов или сегментов сети. bash config firewall local-in-policy edit 1 set intf "port1" set srcaddr "trusted_admin_network" set dstaddr "all" set action accept set service "HTTPS" "SSLVPN" set schedule "always" next end

  2. Отключите неиспользуемые административные доступы: Убедитесь, что административный доступ (HTTPS, SSH) включен только на необходимых интерфейсах (обычно внутренних). Отключите его на внешних (WAN) интерфейсах. bash config system interface edit "wan1" set allowaccess ping # Убедитесь, что здесь НЕТ https, ssh, telnet next end

  3. Используйте Multi-Factor Authentication (MFA): Обязательно включите двухфакторную аутентификацию для всех учетных записей с правами администратора, чтобы снизить риск компрометации учетных данных.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей