En tvist utbröt på tisdagen efter att cybersäkerhetsföretaget Rapid7 publicerade en rapport om en sårbarhet i en Fortinet -produkt innan företaget hann släppa en patch som löste problemet.
Rapid7 sa att en av forskarna, William Vu, upptäckte en sårbarhet för OS -kommandoinjektion i version 6.3.11 och tidigare i FortiWebs hanteringsgränssnitt. Sårbarheten gör att fjärrverifierade angripare kan utföra godtyckliga kommandon på systemet via SAML -serverkonfigurationssidan.
Rapid7 sa att sårbarheten var relaterad till CVE-2021-22123, som behandlades i FG-IR-20-120. Företaget tillade att i avsaknad av en korrigeringsfil bör användare “inaktivera FortiWeb -enhetens hanteringsgränssnitt från otillförlitliga nätverk, vilket skulle inkludera internet.”
Rapporten innehöll en tidslinje som sade att Rapid7 kontaktade Fortinet om sårbarheten i juni och att det erkändes av Fortinet senast den 11 juni. Rapid7 hävdar att de aldrig hört av Fortinet igen förrän de offentliggjorde rapporten på tisdagen.
En talesman för Fortinet kontaktade ZDNet efter att berättelsen om denna sårbarhet publicerades för att kritisera Rapid7 för att ha brutit mot villkoren i deras avslöjningsavtal. Fortinet sa att det har en tydlig upplysningspolicy på sin PSIRT -policy -sida som inkluderar “att be incidentinsändare hålla strikt konfidentialitet tills fullständiga upplösningar finns tillgängliga för kunder.”
“Vi hade förväntat oss att Rapid7 skulle hålla alla fynd före slutet av vårt 90-dagars ansvarsfulla utlämningsfönster. Vi beklagar att individuell forskning i det här fallet avslöjades helt utan tillräcklig underrättelse före 90-dagarsfönstret”, säger Fortinets talesperson. sade och tillade att de ofta arbetar nära forskare och leverantörer om cybersäkerhet.
“Vi arbetar för att omedelbart meddela en lösning till kunder och en patch som släpptes i slutet av veckan.”
Fortinet svarade inte på uppföljande frågor om korrigeringen för sårbarheten.
Rapid7 uppdaterade sin rapport för att säga att Fortiweb 6.4.1 släpps i slutet av augusti och kommer att åtgärda sårbarheten.
Tod Beardsley, forskningsdirektör på Rapid7, berättade för ZDNet att deras policy för avslöjande av sårbarhet beskriver ett minimum på 60 dagar för att avslöja sårbarheter efter första kontaktförsök.
“I det här fallet presenterades det första avslöjandet för Fortinet den 10 juni och en leverantörsbiljett mottogs den 11 juni, enligt vår avslöjande rapport. Vi gjorde flera uppföljningsförsök med Fortinet efter den första kommunikationen och tyvärr fick vi inget svar tillbaka efter 66 dagar, “förklarade Beardsley.
“Det var inget brott mot utlämningspolicyn. Strax efter publiceringen av avslöjandet var vi i kontakt med Fortinet och de indikerade att de kommer att släppa en korrigering. När den korrigeringen har släppts uppdaterar vi vårt avslöjande med den länken och CVE -ID. ”
Beardsley tillade att det inte finns någon indikation på att sårbarheten har använts, så Rapid7s avslöjande “bör läsas som en varning för användare av Fortinets FortiWeb.”
Han upprepade att användare av FortiWeb inte bör exponera sitt hanteringsgränssnitt för internet i allmänhet och bör se till att personer med autentiseringsuppgifter väljer solida, starka lösenord.
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)Relaterade ämnen :
Nätverkssäkerhet TV-datahantering CXO-datacenter 