Er brak dinsdag een geschil uit nadat cyberbeveiligingsbedrijf Rapid7 een rapport had uitgebracht over een kwetsbaarheid in een Fortinet-product voordat het bedrijf tijd had om een patch uit te brengen om het probleem op te lossen.
Rapid7 zei dat een van zijn onderzoekers, William Vu, een kwetsbaarheid voor de injectie van OS-opdrachten ontdekte in versie 6.3.11 en eerder van de beheerinterface van FortiWeb. Door het beveiligingslek kunnen externe, geverifieerde aanvallers willekeurige opdrachten op het systeem uitvoeren via de SAML-serverconfiguratiepagina.
Rapid7 zei dat de kwetsbaarheid verband hield met CVE-2021-22123, dat werd behandeld in FG-IR-20-120. Het bedrijf voegde eraan toe dat gebruikers bij het ontbreken van een patch “de beheerinterface van het FortiWeb-apparaat moeten uitschakelen voor niet-vertrouwde netwerken, waaronder internet.”
Het rapport bevatte een tijdlijn waarin werd vermeld dat Rapid7 in juni contact heeft opgenomen met Fortinet over de kwetsbaarheid en dat het op 11 juni door Fortinet is erkend. Rapid7 beweert dat ze nooit meer iets van Fortinet hebben gehoord totdat ze het rapport dinsdag openbaar maakten.
Een Fortinet-woordvoerder nam contact op met ZDNet nadat het verhaal over deze kwetsbaarheid was gepubliceerd om Rapid7 te bekritiseren voor het schenden van de voorwaarden van hun openbaarmakingsovereenkomst. Fortinet zei dat het een duidelijk openbaarmakingsbeleid heeft op zijn PSIRT-beleidspagina, waaronder “het vragen van indieners van incidenten om strikte vertrouwelijkheid te handhaven totdat volledige oplossingen beschikbaar zijn voor klanten.”
“We hadden verwacht dat Rapid7 alle bevindingen zou bevatten vóór het einde van onze 90 dagen durende Responsible disclosure-periode. We betreuren het dat in dit geval individueel onderzoek volledig openbaar werd gemaakt zonder adequate kennisgeving voorafgaand aan de 90-dagenperiode”, aldus de Fortinet-woordvoerder. zei, eraan toevoegend dat ze vaak nauw samenwerken met onderzoekers en leveranciers op het gebied van cyberbeveiliging.
“We werken eraan om klanten onmiddellijk op de hoogte te stellen van een tijdelijke oplossing en voor het einde van de week een patch uit te brengen.”
Fortinet reageerde niet op vervolgvragen over de patch voor de kwetsbaarheid.
Rapid7 heeft hun rapport bijgewerkt met de mededeling dat Fortiweb 6.4.1 eind augustus zal worden uitgebracht en een oplossing voor de kwetsbaarheid zal hebben.
Tod Beardsley, onderzoeksdirecteur bij Rapid7, vertelde ZDNet dat hun beleid voor openbaarmaking van kwetsbaarheden een minimum van 60 dagen schetst voor het onthullen van kwetsbaarheden na eerste contactpogingen.
“In dit geval werd de eerste onthulling op 10 juni aan Fortinet gepresenteerd en werd op 11 juni een leveranciersticket ontvangen, volgens ons openbaarmakingsrapport. We hebben verschillende vervolgpogingen gedaan met Fortinet na die eerste communicatie en helaas kregen we na 66 dagen geen reactie terug”, legt Beardsley uit.
“Er was geen schending van het openbaarmakingsbeleid. Kort na het publiceren van de openbaarmaking hebben we contact opgenomen met Fortinet en zij hebben aangegeven dat ze een fix zullen vrijgeven. Zodra die fix is vrijgegeven, zullen we onze openbaarmaking bijwerken met die link en CVE-ID. ”
Beardsley voegde toe dat er geen aanwijzingen zijn dat de kwetsbaarheid is gebruikt, dus de onthulling van Rapid7 “moet worden gelezen als een waarschuwing voor gebruikers van Fortinet's FortiWeb.”
Hij herhaalde dat gebruikers van FortiWeb hun beheerinterface in het algemeen niet moeten blootstellen aan internet en ervoor moeten zorgen dat de mensen met authenticatiegegevens solide, sterke wachtwoorden kiezen.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)Verwante onderwerpen :
Netwerkbeveiliging Tv-gegevensbeheer CXO-datacenters 