опять форти, auth bypass в FortiOS, кто уже патчил?
Рейтинг: 20.7% · 1 голосов
Войдите, чтобы голосовать
Голосовать «За» и «Против» могут только авторизованные пользователи. Войдите в свой аккаунт — или зарегистрируйтесь, это займёт минуту.
Нет аккаунта? Зарегистрироваться
-
nixos_andy
- Сообщения: 61
- Зарегистрирован: 11 май 2026, 03:44
опять форти, auth bypass в FortiOS, кто уже патчил?
опять форти. вышел advisory про auth bypass в FortiOS, обход аутентификации на админке через кривой парсинг запроса к api. у кого FortiGate в периметре, срочно смотрите версии. у нас три кластера на 7.2.x, два не патчены с осени. вендор как обычно молчал пару недель а потом выкатил бюллетень когда в паблике уже poc лежал. что у вас по логам видно?
✔ Лучший ответ сформирован автоматически — svelte1
nixos_andy писал(а):вендор как обычно молчал пару недель а потом выкатил бюллетень когда в паблике уже poc лежал это уже не баг а часть их релизного цикла. каждый год одно и то же, форти, ситрикс, палка, по кругу. ssl-vpn и админка на периметре это мина замедленного действия. мы год назад сняли forti с внешки и поставили перед ним отдельный шлюз, и сразу спать стало спокойнее.
Re: опять форти, auth bypass в FortiOS, кто уже патчил?
затронуты по бюллетеню FortiOS 7.4.0-7.4.6, 7.2.0-7.2.10 и ветка 7.0 до 7.0.16. фикс в 7.4.7 / 7.2.11 / 7.0.17. в логах ищите обращения к /api/v2/ с пустым или поддельным заголовком авторизации и подозрительные admin сессии с левых asn. если админка торчит наружу по https, считайте уже могли потрогать. первым делом проверьте список локальных админов, видел кейсы когда создают juohn или подобный аккаунт.
Re: опять форти, auth bypass в FortiOS, кто уже патчил?
✔ Лучший ответ — сформирован автоматически
это уже не баг а часть их релизного цикла. каждый год одно и то же, форти, ситрикс, палка, по кругу. ssl-vpn и админка на периметре это мина замедленного действия. мы год назад сняли forti с внешки и поставили перед ним отдельный шлюз, и сразу спать стало спокойнее.nixos_andy писал(а):вендор как обычно молчал пару недель а потом выкатил бюллетень когда в паблике уже poc лежал
Re: опять форти, auth bypass в FortiOS, кто уже патчил?
если не можете прям щас патчить, хотя бы уберите management с внешнего интерфейса и пропишите trusted hosts на конкретные подсети. и порежьте api наружу фаером. это не лечит дыру, но резко сужает поверхность. и ребут после апдейта обязателен, иначе старые сессии так и висят активными.
-
sleepyblueteam
- Сообщения: 7
- Зарегистрирован: 15 май 2026, 10:38
Re: опять форти, auth bypass в FortiOS, кто уже патчил?
вот это прям важное. у одного клиента нашли левого админа и правило в политике, которое тунелит трафик на vps в нидерландах. так что просто накатить патч мало, если уже зашли, дыру закрыл а доступ у них остался. дампите конфиг и дифайте с эталоном построчно.shaggy1 писал(а):первым делом проверьте список локальных админов, видел кейсы когда создают juohn или подобный аккаунт
Re: опять форти, auth bypass в FortiOS, кто уже патчил?
@nixos_andy, у меня вопрос только один, когда уже завезут отечественный аналог который не будет дырявым как решето. а то импортозаместили фаер на нечто что отваливается от обычного nmap -sV, лол
Поделиться темой:
✈ Telegram
VK
- Похожие темы
-
- Cursor опять переписал тарифы — теперь лимит 1 запрос в минуту, это вообще законно?
21 ответов · 848 просмотров
-
-
- CVE-2026-20245 в Cisco SD-WAN — патчили уже? Как быстро у вас закрывают критикалы
8 ответов · 19 просмотров
-
- Unity опять дорожает в 2026 — кто реально довёл миграцию на Godot до релиза, а не просто грозился?
4 ответов · 9 просмотров
-
-
- tsgo доехал до прода: TypeScript 7 это реально x10 или опять сказки Microsoft?
5 ответов · 8 просмотров
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость