Найти в Дзене
T.Hunter | информационная безопасность
3514 подписчиков

#news Новость, которая многое говорит о нашем ИБ-обществе

~1 мин
Fortinet предупредила об активном эксплойте уязвимости на обход 2FA в FortiOS SSL VPN. Только её давно исправили. В июле 2020-го. Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты. Для митигации можно накатить патчи (из июля 2020-го), а можно обойтись одной командой для отключения чувствительности регистра. Но эксплойт идёт. И мы идём. Возможно, в светлое будущее: там всё будет secure by design, в SOC’ах расслабленно пьют чаёк и забыли про ночные побудки, и там, наверное, вообще не надо будет патчиться. Но это не точно. @tomhunter

#news Новость, которая многое говорит о нашем ИБ-обществе. Fortinet предупредила об активном эксплойте уязвимости на обход 2FA в FortiOS SSL VPN. Только её давно исправили. В июле 2020-го.

Уязвимость средненькая, на 5.2 по CVSS, и сводится к регистру юзернеймов. Если вместо условного jsmith злоумышленник логинится как Jsmith, FortiGate ищет другие опции по аутентификации. И если находит их на LDAP-сервере, логинит в обход настроек локальной политики, включая 2FA и отключённые аккаунты. Для митигации можно накатить патчи (из июля 2020-го), а можно обойтись одной командой для отключения чувствительности регистра. Но эксплойт идёт. И мы идём. Возможно, в светлое будущее: там всё будет secure by design, в SOC’ах расслабленно пьют чаёк и забыли про ночные побудки, и там, наверное, вообще не надо будет патчиться. Но это не точно.

@tomhunter