Det oppsto en tvist tirsdag etter at cybersikkerhetsselskapet Rapid7 ga ut en rapport om en sårbarhet i et Fortinet -produkt før selskapet rakk å slippe en oppdatering som adresserte problemet.
Rapid7 sa at en av forskerne, William Vu, oppdaget et sårbarhet for OS -kommandoinjeksjon i versjon 6.3.11 og tidligere i FortiWebs administrasjonsgrensesnitt. Sårbarheten tillater eksterne, godkjente angripere å utføre vilkårlige kommandoer på systemet via SAML -serverens konfigurasjonsside.
Rapid7 sa at sårbarheten var relatert til CVE-2021-22123, som ble adressert i FG-IR-20-120. Selskapet la til at i mangel av en oppdatering, bør brukerne “deaktivere FortiWeb -enhetens administrasjonsgrensesnitt fra upålitelige nettverk, som inkluderer internett.”
Rapporten inkluderte en tidslinje som sa at Rapid7 kontaktet Fortinet om sårbarheten i juni, og den ble bekreftet av Fortinet innen 11. juni. Rapid7 hevder at de aldri hørte fra Fortinet igjen før de offentliggjorde rapporten tirsdag.
En talsmann for Fortinet tok kontakt med ZDNet etter at historien om dette sikkerhetsproblemet ble publisert for å kritisere Rapid7 for å ha brutt vilkårene i avsløringsavtalen. Fortinet sa at den har en klar informasjonspolicy på PSIRT Policy -siden, som inkluderer “å be hendelsesinnsendere om å opprettholde streng konfidensialitet til fullstendige oppløsninger er tilgjengelige for kundene.”
“Vi hadde forventet at Rapid7 hadde noen funn før slutten av vårt 90-dagers ansvarlige avsløringsvindu. Vi beklager at individuell forskning i dette tilfellet ble avslørt fullstendig uten tilstrekkelig varsel før 90-dagersvinduet,” sa Fortinet-talsmannen. sa og la til at de ofte jobber tett med forskere og leverandører om cybersikkerhet.
“Vi jobber med å levere varsler om en løsning umiddelbart til kunder og en oppdatering utgitt innen utgangen av uken.”
Fortinet svarte ikke på oppfølgingsspørsmål om oppdateringen for sårbarheten.
Rapid7 oppdaterte rapporten for å si at Fortiweb 6.4.1 vil bli utgitt i slutten av august og vil ha en løsning på sårbarheten.
Tod Beardsley, forskningssjef ved Rapid7, sa til ZDNet at deres retningslinjer for avsløring av sårbarhet skisserer et minimum på 60 dager for avsløring av sårbarheter etter første kontaktforsøk.
“I dette tilfellet ble den første avsløringen presentert for Fortinet 10. juni og en leverandørbillett ble mottatt den 11. juni i henhold til vår rapporteringsrapport. Vi gjorde flere oppfølgingsforsøk med Fortinet etter den første kommunikasjonen og dessverre fikk vi ikke noe svar tilbake etter 66 dager, “forklarte Beardsley.
“Det var ikke noe brudd på retningslinjene for avsløring. Kort tid etter at vi hadde offentliggjort avsløringen, var vi i kontakt med Fortinet, og de indikerte at de vil frigjøre en løsning. Når denne rettelsen er frigitt, oppdaterer vi avsløringen med denne lenken og CVE -ID. ”
Beardsley la til at det ikke er noen indikasjon på at sårbarheten er blitt brukt, så Rapid7s avsløring “bør leses som en advarsel for brukere av Fortinets FortiWeb.”
Han gjentok at brukere av FortiWeb ikke bør eksponere sitt administrasjonsgrensesnitt for internett generelt og bør sørge for at personene med godkjenningslegitimasjon velger solide, sterke passord.
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)Relaterte emner :
Nettverkssikkerhet TV Datahåndtering CXO datasentre 