描述:
Fortinet 及 Pulse Secure 發布了保安建議以應對Fortinet 及 Pulse Secure SSL VPN 服務中的多個漏洞。未通過認證的遠端攻擊者可以向受影響的系統傳送特製的HTTP請求來攻擊漏洞。
有報告觀察到針對SSL VPN服務漏洞(CVE-2018-13379 及 CVE-2019-11510)的攻擊及大規模掃描活動。用戶應立即為受影響的系統安裝修補程式,以免增加受到網絡攻擊的風險。
受影響的系統:
- Fortinet 產品運行 FortiOS 版本 5.6.3 至 5.6.7
- Fortinet 產品運行 FortiOS 版本 6.0.0 至 6.0.4
- Pulse Connect Secure 8.1R1 至 8.1R15
- Pulse Connect Secure 8.2R1 至 8.2R12
- Pulse Connect Secure 8.3R1 至 8.3R7
- Pulse Connect Secure 9.0R1 至 9.0R3.3
- Pulse Policy Secure 5.1R1 至 5.1R15
- Pulse Policy Secure 5.2R1 至 5.2R12
- Pulse Policy Secure 5.3R1 至 5.3R12
- Pulse Policy Secure 5.4R1 至 5.4R7
- Pulse Policy Secure 9.0R1 至 9.0R3.3
影響:
成功利用這些漏洞可以在受影響的系統上導致泄漏憑證、泄漏資訊及遠端執行程式碼。
建議:
系統管理員應立即採取下列行動以降低風險:
- 按照Fortinet(FG-IR-18-384)及 Pulse Secure(SA44101)中的保安建議修補受影響的系統。
- 如無法立即進行修補,應先停用SSL-VPN服務作為權宜的措施,直到已為受影響的系統進行修補。
- 由於概念驗證(PoC)攻擊已被公開,並且已得知可以獲取含有漏洞的VPN密碼檔案,因此如果收到任何類似以下可疑的請求,請更改VPN設備的密碼:
"https://sslmgr/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession"
為審慎起見,如不確定,亦請更改密碼。
進一步資訊:
https://fortiguard.com/psirt/FG-IR-18-384
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11507 (to CVE-2019-11510)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11538 (to CVE-2019-11543)