CẢNH BÁO LỖ HỔNG XSS TRÊN TƯỜNG LỬA FORTINET

1. Thông tin chung

– Mức độ: Cao

– Mã lỗi quốc tế: CVE-2017-3132, CVE-2017-3131, CVE-2017-3133

– Ảnh hưởng:

Fortinet Fortios 5.6

Fortinet Fortios 5.4.5

Fortinet Fortios 5.4.4

Fortinet Fortios 5.4.3

Fortinet Fortios 5.4.2

Fortinet Fortios 5.4.1

Fortinet Fortios 5.4.0

Fortinet Fortios 5.2.0

Ngày 28/7/2017, một nhóm lỗ hổng cho phép thực hiện tấn công XSS trên   một số thiết bị tường lửa Fortinet đã được phát hiện, đây là nhóm lỗ hổng trên thành phần ứng dụng web tích hợp trên tưởng lửa Fortinet. Khai thác thành công lỗ hổng này kẻ tấn công có thể thực thi mã lệnh trong trình duyệt người dùng.

Lỗi XSS trong chức năng Fotiview của Fortinet 500D

Đáng chú ý đây là lỗ hổng trên thiết bị tường lửa được dùng khá phổ biến tại các cơ quan, đơn vị và doanh nghiệp ở Việt Nam. Tường lửa là các thiết bị bảo mật đứng trước để bảo vệ các vùng mạng và có thể truy cập trực tiếp từ Internet, nên lỗ hổng này có thể được khai thác từ xa mà không gặp bất kỳ khó khăn nào.

2. Khuyến nghị

Nhằm bảo đảm an toàn thông tin và phòng tránh việc tin tặc lợi dụng lỗ hổng để thực hiện những cuộc tấn công mạng nguy hiểm, Cục ATTT khuyến nghị các quản trị viên tại các cơ quan, đơn vị thực hiện:

– Kiểm tra và cập nhật bản vá/nâng cấp hệ điều hành cho các thiết bị tường lửa trong hệ thống mạng của đơn vị bị ảnh hưởng.

– Kiểm soát việc đăng nhập, quản trị các thiết bị bảo mật nói chung, tường lửa nói riêng;

– Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm đối phó kịp thời với các nguy cơ tấn công mạng.

3. Tham khảo

https://www.fortiguard.com/psirt/FG-IR-17-104

http://www.securityfocus.com/bid/100009/info

http://seclists.org/bugtraq/2017/Jul/68

Bài viết liên quan

Vietnam – A new potential market for AI in the Finance-Banking industry.

Vietnam – A new potential market for AI in the Finance-Banking industry.

Vietnam has emerged as a bright spot in the world’s artificial intelligence (AI) market, as Vietnamese representatives are constantly invited…

Technological explosion at the ADG – NVIDIA conference: “Application of AI in the field of Finance – Banking – Insurance”.

Technological explosion at the ADG – NVIDIA conference: “Application of AI in the field of Finance – Banking – Insurance”.

Ho Chi Minh City, April 21, 2022 – ADG Distribution cooperated with NVIDIA to successfully organize the seminar “Application of…

ADG becomes the official distributor of Lenovo in Vietnam

ADG becomes the official distributor of Lenovo in Vietnam

In early May, ADG has officially become a Lenovo’s partner in Vietnamese market, marking a strategic step forward in cooperation…

NVIDIA – Distributor Authorize Letter for ADG
Magic Quadrant for Wired and Wireless LAN Access Infrastructure – Juniper Networks

Magic Quadrant for Wired and Wireless LAN Access Infrastructure – Juniper Networks

Campus and branch office access networking is evolving to support better user experiences and use cases such as edge networking….

Dell EMC PowerEdge R640 Review

Dell EMC PowerEdge R640 Review

The PowerEdge R640 is a scalable 1U rack server designed for computing and storage via a 2-socket platform. Described as a balance between performance,…

5 Things To Know About Dell’s New Latitude 9000 And 7000 Devices

5 Things To Know About Dell’s New Latitude 9000 And 7000 Devices

Dell is kicking off its Latitude 9000 series launch along with debuting redesigned Latitude 7000 models Initially unveiled in January at…

THIẾT BỊ CHUYỂN MẠCH – SWITCH

THIẾT BỊ CHUYỂN MẠCH – SWITCH

VIRTUAL CHASSIS TECHNOLOGY Tổng quan: Juniper Networks hỗ trợ kết nối hai hoặc nhiều thiết bị chuyển mạch với nhau…

Bảo mật Trung tâm Dữ liệu (Phần 3)

Bảo mật Trung tâm Dữ liệu (Phần 3)

Nâng cao bảo mật hệ thống Trung tâm dữ liệu Phân lớp bảo mật Các yếu tố nhận diện bảo…

Bảo mật Trung tâm Dữ liệu (Phần 2)

Bảo mật Trung tâm Dữ liệu (Phần 2)

Phần 2: Các yếu tố bảo mật Các yếu tố bảo mật A Một số yêu cầu tồn tại để đảm…