Cảnh báo vấn đề bảo mật và khuyến nghị cải thiện an toàn trên các sản phẩm FortiOS và FortiProxy
Kính thưa quý khách hàng, như trong thông báo ngày 07/10/2022 của hãng Fortinet về vấn đề bảo mật liên quan đến các sản phẩm FortiOS và FortiProxy (CVE-2022-40684). Cảnh báo cho biết các đối tượng xấu có thể lợi dụng vấn đề bảo mật trên các phiên bản phần mềm cũ của FortiOS và FortiProxy để tấn công chiếm quyền truy cập vào giao diện quản trị từ xa thông qua HTTP/HTTPS mà chưa được xác thực (Phiên bản phần mềm bị ảnh hưởng: FortiOS phiên bản 7.0.0 đến 7.0.6; 7.2.0 đến 7.2.1, FortiProxy phiên bản 7.0.0 đến 7.0.6, 7.2.0.)
Hiện tại các vấn đề này đã được Fortinet khắc phục trong các phiên bản FortiOS 7.0.7 và 7.2.2.
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của quý khách hàng, Việt Nét khuyến nghị quý khách hàng thực hiện kiểm tra, rà soát các sản phẩm FortiOS và FortiProxy đang sử dụng có khả năng bị ảnh hưởng bởi vấn đề bảo mật trên. Đồng thời thực hiện nâng cấp phần mềm lên phiên bản mới nhất để tránh nguy cơ bị các đối tượng xấu khai thác. Trong trường hợp quý khách hàng chưa thể thực hiện nâng cấp phần mềm, quý khách hàng cần thực hiện thiết lập chính sách để hạn chế quyền truy cập các địa chỉ IP vào giao diện quản trị.
Cách thực hiện cải thiện an toàn:
1- Thay đổi cấu hình trên Firewall
– Cấu hình trusted firewall address chỉ cho phép IP quản trị kết nối vào.
– Cấu hình local-policy chỉ cho phép những source trên kết nối quản trị vào Firewall và deny các source còn lại.
2- Tắt quản trị HTTPS/HTTP trên Interface sử dụng IP public quản trị nếu không thực sự cần thiết.
3- Nâng cấp FortiOS lên 7.0.7 và 7.2.2
Nếu có bất cứ khó khăn gì trong quá trình thực hiện và cần sự trợ giúp, quý khách hàng vui lòng liên hệ Việt Nét để được hỗ trợ kịp thời.
Tài liệu tham khảo:
https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
https://docs.fortinet.com/document/fortigate/7.2.2/fortios-release-notes/289806/resolved-issues
https://docs.fortinet.com/document/fortigate/7.2.0/best-practices/127480/user-authentication-for-management-network-access