Der opstod en tvist tirsdag, efter at cybersikkerhedsvirksomheden Rapid7 offentliggjorde en rapport om en sårbarhed i et Fortinet -produkt, inden virksomheden nåede at frigive en patch, der adresserede problemet.
Rapid7 sagde, at en af forskerne, William Vu, opdagede en sårbarhed over for kommandoindsprøjtning i OS i version 6.3.11 og forud for FortiWebs management interface. Sårbarheden gør det muligt for eksterne, godkendte angribere at udføre vilkårlige kommandoer på systemet via SAML -serverens konfigurationsside.
Rapid7 sagde, at sårbarheden var relateret til CVE-2021-22123, som blev behandlet i FG-IR-20-120. Virksomheden tilføjede, at i mangel af en patch skulle brugerne “deaktivere FortiWeb -enhedens administrationsgrænseflade fra upålidelige netværk, som ville omfatte internettet.”
Rapporten indeholdt en tidslinje, hvor Rapid7 kontaktede Fortinet om sårbarheden i juni, og den blev anerkendt af Fortinet inden den 11. juni. Rapid7 hævder, at de aldrig har hørt fra Fortinet igen, før de offentliggjorde rapporten tirsdag.
En Fortinet -talsmand kontaktede ZDNet, efter at historien om denne sårbarhed blev offentliggjort for at kritisere Rapid7 for at overtræde vilkårene i deres oplysningsaftale. Fortinet sagde, at det har en klar oplysningspolitik på sin PSIRT -politikside, der omfatter “beder hændelsesindleverere om at opretholde streng fortrolighed, indtil fuldstændige beslutninger er tilgængelige for kunderne.”
“Vi havde forventet, at Rapid7 havde alle fund inden udgangen af vinduet med vores 90-dages ansvarlige oplysningspligt. Vi beklager, at individuel forskning i dette tilfælde blev afsløret fuldstændigt uden tilstrækkelig meddelelse før 90-dages vinduet,” siger Fortinet-talsmanden. sagde og tilføjede, at de ofte arbejder tæt sammen med forskere og leverandører om cybersikkerhed.
“Vi arbejder på at levere øjeblikkelig besked om en løsning til kunder og en patch frigivet inden udgangen af ugen.”
Fortinet svarede ikke på opfølgende spørgsmål om patchen for sårbarheden.
Rapid7 opdaterede deres rapport for at sige, at Fortiweb 6.4.1 frigives i slutningen af august og vil have en løsning på sårbarheden.
Tod Beardsley, forskningsdirektør hos Rapid7, fortalte ZDNet, at deres politik om udsendelse af sårbarheder skitserer et minimum på 60 dage til afsløring af sårbarheder efter første kontaktforsøg.
“I dette tilfælde blev den første afsløring præsenteret for Fortinet den 10. juni, og en sælgerbillet blev modtaget den 11. juni i henhold til vores oplysningsrapport. Vi foretog flere opfølgende forsøg med Fortinet efter den første kommunikation og desværre modtog vi intet svar tilbage efter 66 dage, “forklarede Beardsley.
“Der var ingen overtrædelse af oplysningspolitikkerne. Kort efter offentliggørelsen af videregivelsen var vi i kontakt med Fortinet, og de indikerede, at de vil frigive en rettelse. Når denne rettelse er frigivet, opdaterer vi vores offentliggørelse med dette link og CVE -id. ”
Beardsley tilføjede, at der ikke er tegn på, at sårbarheden er blevet brugt, så Rapid7s afsløring “bør læses som en advarsel for brugere af Fortinets FortiWeb.”
Han gentog, at brugere af FortiWeb ikke generelt skulle udsætte deres ledelsesgrænseflade for internettet og skulle sikre, at personer med godkendelsesoplysninger vælger solide, stærke adgangskoder.
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)Relaterede emner :
Netværkssikkerhed TV-datastyring CXO-datacentre 