描述:
Fortinet 及 Pulse Secure 发布了保安建议以应对Fortinet 及 Pulse Secure SSL VPN 服务中的多个漏洞。未通过认证的远端攻击者可以向受影响的系统传送特制的HTTP请求来攻击漏洞。
有报告观察到针对SSL VPN服务漏洞(CVE-2018-13379 及 CVE-2019-11510)的攻击及大规模扫描活动。用户应立即为受影响的系统安装修补程式,以免增加受到网络攻击的风险。
受影响的系统:
- Fortinet 产品运行 FortiOS 版本 5.6.3 至 5.6.7
- Fortinet 产品运行 FortiOS 版本 6.0.0 至 6.0.4
- Pulse Connect Secure 8.1R1 至 8.1R15
- Pulse Connect Secure 8.2R1 至 8.2R12
- Pulse Connect Secure 8.3R1 至 8.3R7
- Pulse Connect Secure 9.0R1 至 9.0R3.3
- Pulse Policy Secure 5.1R1 至 5.1R15
- Pulse Policy Secure 5.2R1 至 5.2R12
- Pulse Policy Secure 5.3R1 至 5.3R12
- Pulse Policy Secure 5.4R1 至 5.4R7
- Pulse Policy Secure 9.0R1 至 9.0R3.3
影响:
成功利用这些漏洞可以在受影响的系统上导致泄漏凭证、泄漏资讯及远端执行程式码。
建议:
系统管理员应立即采取下列行动以降低风险:
- 按照Fortinet(FG-IR-18-384)及 Pulse Secure(SA44101)中的保安建议修补受影响的系统。
- 如无法立即进行修补,应先停用SSL-VPN服务作为权宜的措施,直到已为受影响的系统进行修补。
- 由于概念验证(PoC)攻击已被公开,并且已得知可以获取含有漏洞的VPN密码档案,因此如果收到任何类似以下可疑的请求,请更改VPN设备的密码:
"https://sslmgr/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession"
为审慎起见,如不确定,亦请更改密码。
进一步信息:
https://fortiguard.com/psirt/FG-IR-18-384
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11507 (to CVE-2019-11510)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11538 (to CVE-2019-11543)