EN
EN

Firewallunuzu Güncelleyin


FortiOS ürününe ait  SSL VPN web portalda ortaya çıkarılan yanlış yetkilendirme zafiyeti kimlik doğrulamasından geçmemiş bir siber suçlunun SSL VPN web portal kullanıcısına ait parolayı değiştirmesine imkan veriyor. Siber saldırgan bu zafiyeti istismar için özel hazırlanmış HTTP istekleri göndermek ve Dizin Atlatma atağı gibi teknikleri kullanıyor.

Etkilenen Ürünler:

FortiOS 6.0.0 - 6.0.4

FortiOS 5.6.0 - 5.6.8

FortiOS 5.4.1 -  5.4.10

Sadece SSL VPN servisinin (web-mode veya tunnel-mode) açık bırakıldığı durumlarda etkilidir.

Bu açıklıktan yalnızca yerel kimlik doğrulaması yapılmış kullanıcılar etkilenmektedir, uzak kimlik doğrulaması(LDAP ya da RADIUS) ile erişen kullanıcılar bu zafiyetten etkilenmemektedir.

5.4.0 ve aşağı sürümleri(5.2 de dahil olmak üzere) zafiyetten etkilenmemektedir.

Çözümler:

FortiOS 5.4.11, 5.6.9, 6.0.5 ve 6.2.0 ve daha üstü sürümlere yükseltme yapınız.

Geçici çözüm olarak SSL VPN kullanıcı kimlik doğrulamasını yerelden LDAP ve RADIUS gibi remote servislere taşımak önerilmektedir, bir diğer çözüm ise aşağıdaki CLI komutlarını kullanarak SSL-VPN servisini hem web-mode hem de tunnel-mode olarak tamamiyle kapatmaktır(aşağıdaki komutların işleyebilmesi için öncelikle SSL VPN’e bağlı olan Firewall kurallarının unset edilmesi gerekmektedir):

config vpn ssl settings

unset source-interface

end