Martedì è scoppiata una controversia dopo che la società di sicurezza informatica Rapid7 ha pubblicato un rapporto su una vulnerabilità in un prodotto Fortinet prima che l'azienda avesse il tempo di rilasciare una patch che risolvesse il problema.
Rapid7 ha affermato che uno dei suoi ricercatori, William Vu, ha scoperto una vulnerabilità di iniezione dei comandi del sistema operativo nella versione 6.3.11 e precedenti dell'interfaccia di gestione di FortiWeb. La vulnerabilità consente agli aggressori remoti e autenticati di eseguire comandi arbitrari sul sistema tramite la pagina di configurazione del server SAML.
Rapid7 ha affermato che la vulnerabilità era correlata a CVE-2021-22123, che è stata affrontata in FG-IR-20-120. La società ha aggiunto che in assenza di una patch, gli utenti dovrebbero “disabilitare l'interfaccia di gestione del dispositivo FortiWeb da reti non affidabili, che includerebbe Internet”.
Il rapporto includeva una cronologia secondo cui Rapid7 aveva contattato Fortinet in merito alla vulnerabilità a giugno ed è stato riconosciuto da Fortinet entro l'11 giugno. Rapid7 afferma di non aver mai più avuto notizie da Fortinet fino a quando non ha rilasciato pubblicamente il rapporto martedì.
Un portavoce di Fortinet ha contattato ZDNet dopo che la storia su questa vulnerabilità è stata pubblicata per criticare Rapid7 per aver violato i termini del loro accordo di divulgazione. Fortinet ha affermato di avere una chiara politica di divulgazione sulla sua pagina PSIRT Policy che include “chiedere a chi invia gli incidenti di mantenere la massima riservatezza fino a quando non saranno disponibili risoluzioni complete per i clienti”.
“Ci aspettavamo che Rapid7 conservasse qualsiasi risultato prima della fine della nostra finestra di divulgazione responsabile di 90 giorni. Ci rammarichiamo che in questo caso, la ricerca individuale sia stata completamente divulgata senza un'adeguata notifica prima della finestra di 90 giorni”, il portavoce di Fortinet ha affermato, aggiungendo che spesso lavorano a stretto contatto con ricercatori e fornitori sulla sicurezza informatica.
“Stiamo lavorando per fornire una notifica immediata di una soluzione alternativa ai clienti e una patch rilasciata entro la fine della settimana.”
Fortinet non ha risposto alle domande successive sulla patch per la vulnerabilità.
Rapid7 ha aggiornato il suo rapporto per dire che Fortiweb 6.4.1 sarà rilasciato alla fine di agosto e avrà una correzione per la vulnerabilità.
Tod Beardsley, direttore della ricerca presso Rapid7, ha dichiarato a ZDNet che la loro politica di divulgazione delle vulnerabilità delinea un minimo di 60 giorni per la divulgazione delle vulnerabilità dopo i tentativi di contatto iniziali.
“In questo caso, la divulgazione iniziale è stata presentata a Fortinet il 10 giugno e un ticket del fornitore è stato ricevuto l'11 giugno, secondo il nostro rapporto di divulgazione. Abbiamo fatto diversi tentativi di follow-up con Fortinet in seguito a tale comunicazione iniziale e sfortunatamente non abbiamo ricevuto risposta dopo 66 giorni”, ha spiegato Beardsley.
“Non c'è stata alcuna violazione delle politiche di divulgazione. Poco dopo la pubblicazione della divulgazione, siamo entrati in contatto con Fortinet e hanno indicato che rilasceranno una correzione. Una volta rilasciata la correzione, aggiorneremo la nostra divulgazione con quel link e l'ID CVE. ”
Beardsley ha aggiunto che non vi è alcuna indicazione che la vulnerabilità sia stata utilizzata, quindi la divulgazione di Rapid7 “dovrebbe essere letta come un avvertimento per gli utenti del FortiWeb di Fortinet”.
Ha ribadito che gli utenti di FortiWeb non dovrebbero esporre la loro interfaccia di gestione a Internet in generale e dovrebbero assicurarsi che le persone con credenziali di autenticazione scelgano password solide e sicure.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)Argomenti correlati :
Rete Sicurezza TV Gestione dati CXO Data Center 