В Fortinet FortiWeb устранили уязвимость, позволяющую внедрить команды

Екатерина Быстрова 22 Июня 2021 - 19:04

Корпорации

Fortinet

Positive Technologies

...

Компания Fortinet устранила уязвимость в своем межсетевом экране FortiWeb, предназначенном для защиты веб-приложений от веб-атак, и поблагодарила эксперта Positive Technologies Андрея Медова, выявившего проблему.

Ошибка получила идентификатор CVE-2021-22123 и оценку 7,4 по шкале CVSSv3, что соответствует высокому уровню опасности.

«Уязвимость внедрения команд в интерфейсе управления FortiWeb может позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнять произвольные команды в системе через страницу конфигурации сервера SAML, — объясняет Андрей Медов. — Выполнение команд с максимальными привилегиями приведет к получению атакующим полного контроля над сервером. Если же в результате неправильной настройки интерфейс администрирования межсетевого экрана окажется доступен в интернете, а сам продукт не будет обновлен до последних версий, то комбинация CVE-2021-22123 и обнаруженной нами ранее ошибки CVE-2020-29015 может позволить атакующему проникнуть во внутреннюю сеть».

Для устранения уязвимости нужно обновить FortiWeb 6.3.7 (и ниже), 6.2.3 (и ниже), 6.1.x, 6.0.x, 5.9.x до версий 6.3.8 или 6.2.4 (в зависимости от используемой редакции продукта).

В феврале 2021 года Fortinet закрыла четыре уязвимости в FortiWeb, выявленные Андреем Медовым.

Автоматизировать обнаружение и приоритизацию подобных уязвимостей позволяют системы управления уязвимостями, такие как MaxPatrol VM. Выявить признаки проникновения (например, в случае невозможности установки обновления) помогут системы класса SIEM (в частности, MaxPatrol SIEM), которые позволяют выявить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 26 Декабря 2024 - 21:41

Общее Системы аутентификации Средства электронной подписи (ЭП) Газинформсервис

Газинформсервис помогает строить трансграничное пространство доверия в ЕАЭС

Советник генерального директора – начальник удостоверяющего центра Сергей Кирюшкин назвал механизм взаимного признания электронной подписи критически важным для улучшения бизнес-климата в Евразийском экономическом союзе (ЕАЭС).

17-е заседание Консультативного совета торгово-промышленных палат ЕАЭС состоялось 24 декабря 2024 года в формате видео-конференц-связи.

В нём приняли участие вице-президент Торгово-промышленной палаты РФ Дмитрий Курочкин, директор Департамента внешних связей Илья Нестеров, и. о. председателя правления Внешнеторговой палаты Казахстана Асан Жакишев, вице-президент ТПП Армении Карен Иванов, заместитель председателя Белорусской ТПП Елена Малиновская, вице-президент ТПП Кыргызской Республики Мамасадык Бакиров и руководитель Проектного офиса по поддержке кооперации в Евразийском экономическом союзе Анастасия Астахова.

С докладом «О развитии механизмов взаимного признания электронной (цифровой) подписи в рамках ЕАЭС» выступил советник генерального директора – начальник удостоверяющего центра Сергей Кирюшкин. Он рассказал о разработке механизмов взаимного признания электронной цифровой подписи в рамках ЕАЭС.

По его оценке, создание таких механизмов необходимо для развития безбумажной трансграничной торговли, причем в приоритетном порядке. «Газинформсервис» продолжает активную работу над созданием надёжного трансграничного пространства доверия для электронной подписи.

«Тему взаимного признания электронной подписи в интересах развития безбумажной трансграничной торговли в странах ЕАЭС торгово-промышленные палаты стран-членов ЕАЭС считают приоритетной. 2024 год впервые показал взрывной рост практической реализации сервиса взаимного признания электронной подписи в интересах бизнеса и органов государственной власти. Базовым технологическим решением данной задачи на пространстве ЕАЭС является сервис валидации иностранной электронной подписи доверенной третьей стороны. Основой правовой конструкции признания являются соглашения B2B между участниками трансграничного электронного взаимодействия. В ТПП РФ эта тема вошла в повестку Совета ТПП по развитию ИТ и цифровой экономики», — отметил Сергей Кирюшкин в выступлении.

Тема использования электронной подписи обсуждалась на эфире AM Live 29 ноября. Сергей Кирюшкин также участвовал в обсуждении.