CH azonosító
CH-12987Angol cím
FortiOS vulnerabilityFelfedezés dátuma
2016.01.14.Súlyosság
KritikusÉrintett rendszerek
FortinetÉrintett verziók
FortiAnalyzer: 5.0.5 - 5.0.11 és 5.2.0 - 5.2.4 (branch 4.3 nem érintett)
FortiSwitch: 3.3.0 - 3.3.2
FortiCache: 3.0.0 - 3.0.7 (branch 3.1 nem érintett)
FortiOS 4.1.0 - 4.1.10
FortiOS 4.2.0 - 4.2.15
FortiOS 4.3.0 - 4.3.16
FortiOS 5.0.0 - 5.0.7
FortiOS 5.2 és 5.4, valamint a FortiOS 4.0 és korábbi verziói nem érintettek
Összefoglaló
A FortiOS sérülékenységét jelentették, amelyet kihasználva a támadók rendszergazdai jogosultsághoz juthatnak SSH-n keresztül.
Leírás
A FortiOS bizonyos verzióiban található egy nem dokumentált, rendszergazdai jogosultságot biztosító felhasználói account, beégetett jelszóval.
Megoldás
A FortiGuard-os hivatkozáson megtalálhatóak a javított verziók, illetve a workaround azok számára, akik nem rendelkeznek élő karbantartási szerződéssel.
Támadás típusa
System access (Rendszer hozzáférés)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.fortiguard.com
Egyéb referencia: www.makesecure.com
CVE-2016-1909 - NVD CVE-2016-1909