FortiGate SSL VPN漏洞(CVE-2018-13382)

FortiGate SSL VPN漏洞(CVE-2018-13382),原廠在2019年5月份已釋出解決方案,有啟用SSL VPN的網友,可以參考一下相關風險的解決方案。

發布日期:2019年5月24日
IR號碼:FG-IR-18-389

影響:
當啟用SSL VPN功能(Web模式或隧道模式)且使用本地端身份驗證時才受影響,SSL VPN Web驗證畫面中的不正當授權漏洞可能允許未經身份驗證的攻擊者通過特製的HTTP請求更改SSL VPN Web驗證畫面用戶的密碼。

受影響的產品:
FortiOS 6.0系列:6.0.0至6.0.4。
FortiOS 5.6系列:5.6.0至5.6.8。
FortiOS 5.4系列:5.4.1至5.4.10。
備註:5.4.0及以下版本(包括分支5.2)不受影響。

解決方案:
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列:升級到6.0.5或更高版本。
FortiOS 5.6系列:升級到5.6.9或更高版本。
FortiOS 5.4系列:升級到5.4.11或更高版本。

臨時性方案:
(1)、關閉SSL VPN功能。
(2)、SSL VPN使用者身份驗證從本地移轉到到LDAP(Windows AD)或RADIUS遠端認證主機。

原廠說明網址:
https://fortiguard.com/psirt/FG-IR-18-389