Vulnerabilità Fortigate FSSO
03/20/2015
Proto: N040315.
Negli ultimi giorni è stata resa nota una importante vulnerabilità presente nei prodotti Next Generation Firewall Fortigate con modulo "Fortinet Single Sign On" abilitato. Tale criticità è identificata con il codice CVE-2015-2281.
Il modulo Single-Sign-On di Fortigate è comunemente utilizzato per autenticare gli utenti di di rete presso il Firewall senza richiedere ulteriore inserimento di credenziali. Per fare ciò in ambienti Microsoft Active Directory viene installato un apposito servizio Fortinet all'interno dei server di dominio interessati. Nella seguente immagine è rappresentato uno scenario d'installazione tipico del modulo FSSO (Courtesy of Fortinet):
Tale servizio è comunemente raggiungibile dalla rete interna e risulta essere vulnerabile a problematiche di Stack Buffer Overflow sfruttabili senza necessità di autenticazione. Questa falla di sicurezza può permettere ad un attaccante di corrompere il servizio causando disservizi di rete o nel caso peggiore la compromissione del server di dominio stesso.
Le versioni del servizio Fortigate FSSO per Active Directory vulnerabili sono quelle minori di 4.3.0164. Il vendor ha confermato la problematica attraverso il security advisory FG-IR-15-006, rilasciando appositi aggiornamenti.
Qualora la funzionalità di Single-Sign-On sia abilitata presso i Vostri Next Generation Firewall Fortigate, Yoroi consiglia di aggiornare il servizio Fortinet FSSO Windows installato sui server di dominio all'ultima versione disponible.
Yoroi consiglia di aumentare il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso. Yoroi consiglia l'utilizzo di un team di esperti per salvaguardiare la sicurezza del perimetro "cyber".
Per avere un Indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
Il modulo Single-Sign-On di Fortigate è comunemente utilizzato per autenticare gli utenti di di rete presso il Firewall senza richiedere ulteriore inserimento di credenziali. Per fare ciò in ambienti Microsoft Active Directory viene installato un apposito servizio Fortinet all'interno dei server di dominio interessati. Nella seguente immagine è rappresentato uno scenario d'installazione tipico del modulo FSSO (Courtesy of Fortinet):
Tale servizio è comunemente raggiungibile dalla rete interna e risulta essere vulnerabile a problematiche di Stack Buffer Overflow sfruttabili senza necessità di autenticazione. Questa falla di sicurezza può permettere ad un attaccante di corrompere il servizio causando disservizi di rete o nel caso peggiore la compromissione del server di dominio stesso.
Le versioni del servizio Fortigate FSSO per Active Directory vulnerabili sono quelle minori di 4.3.0164. Il vendor ha confermato la problematica attraverso il security advisory FG-IR-15-006, rilasciando appositi aggiornamenti.
Qualora la funzionalità di Single-Sign-On sia abilitata presso i Vostri Next Generation Firewall Fortigate, Yoroi consiglia di aggiornare il servizio Fortinet FSSO Windows installato sui server di dominio all'ultima versione disponible.
Yoroi consiglia di aumentare il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso. Yoroi consiglia l'utilizzo di un team di esperti per salvaguardiare la sicurezza del perimetro "cyber".
Per avere un Indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
