CẢNH BÁO LỖ HỔNG XSS TRÊN TƯỜNG LỬA FORTINET

Date: 25/07/2019

1. Thông tin chung

– Mức độ: Cao

– Mã lỗi quốc tế: CVE-2017-3132, CVE-2017-3131, CVE-2017-3133

– Ảnh hưởng:

Fortinet Fortios 5.6

Fortinet Fortios 5.4.5

Fortinet Fortios 5.4.4

Fortinet Fortios 5.4.3

Fortinet Fortios 5.4.2

Fortinet Fortios 5.4.1

Fortinet Fortios 5.4.0

Fortinet Fortios 5.2.0

Ngày 28/7/2017, một nhóm lỗ hổng cho phép thực hiện tấn công XSS trên   một số thiết bị tường lửa Fortinet đã được phát hiện, đây là nhóm lỗ hổng trên thành phần ứng dụng web tích hợp trên tưởng lửa Fortinet. Khai thác thành công lỗ hổng này kẻ tấn công có thể thực thi mã lệnh trong trình duyệt người dùng.

Lỗi XSS trong chức năng Fotiview của Fortinet 500D

Đáng chú ý đây là lỗ hổng trên thiết bị tường lửa được dùng khá phổ biến tại các cơ quan, đơn vị và doanh nghiệp ở Việt Nam. Tường lửa là các thiết bị bảo mật đứng trước để bảo vệ các vùng mạng và có thể truy cập trực tiếp từ Internet, nên lỗ hổng này có thể được khai thác từ xa mà không gặp bất kỳ khó khăn nào.

2. Khuyến nghị

Nhằm bảo đảm an toàn thông tin và phòng tránh việc tin tặc lợi dụng lỗ hổng để thực hiện những cuộc tấn công mạng nguy hiểm, Cục ATTT khuyến nghị các quản trị viên tại các cơ quan, đơn vị thực hiện:

– Kiểm tra và cập nhật bản vá/nâng cấp hệ điều hành cho các thiết bị tường lửa trong hệ thống mạng của đơn vị bị ảnh hưởng.

– Kiểm soát việc đăng nhập, quản trị các thiết bị bảo mật nói chung, tường lửa nói riêng;

– Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm đối phó kịp thời với các nguy cơ tấn công mạng.

3. Tham khảo

https://www.fortiguard.com/psirt/FG-IR-17-104

http://www.securityfocus.com/bid/100009/info

http://seclists.org/bugtraq/2017/Jul/68

Bài viết liên quan

Office ESD: Giải pháp Microsoft Office bản quyền tối ưu cho doanh nghiệp hiện đại 

Office ESD: Giải pháp Microsoft Office bản quyền tối ưu cho doanh nghiệp hiện đại 

Trong thời đại số hóa, khi mọi hoạt động kinh doanh đều phụ thuộc vào công nghệ, việc lựa chọn…

Tính năng bảo mật nâng cao của Windows 11 Pro: Lá chắn an toàn cho người dùng trong kỷ nguyên số 

Tính năng bảo mật nâng cao của Windows 11 Pro: Lá chắn an toàn cho người dùng trong kỷ nguyên số 

Windows 11 Pro không chỉ là một hệ điều hành – nó là lá chắn bảo vệ người dùng cá…

NVIDIA AI Data Platform: Hạ tầng lưu trữ siêu tối ưu cho AI

NVIDIA AI Data Platform: Hạ tầng lưu trữ siêu tối ưu cho AI

NVIDIA AI Data Platform – Định hình tương lai lưu trữ AI Tại sự kiện GTC25, NVIDIA đã chính thức…

Lý do quan trọng doanh nghiệp nên lựa chọn Windows 11 Pro bản quyền 

Lý do quan trọng doanh nghiệp nên lựa chọn Windows 11 Pro bản quyền 

Windows 11 Pro bản quyền không chỉ là một hệ điều hành – đó là nền tảng để người dùng…

Những Xu Hướng Công Nghệ Định Hình Tương Lai Năm 2025

Những Xu Hướng Công Nghệ Định Hình Tương Lai Năm 2025

Năm 2025 hứa hẹn sẽ là cột mốc bùng nổ của công nghệ với hàng loạt đột phá mang tính…

ADG Technology – Nhà phân phối Server Dell chính hãng

ADG Technology – Nhà phân phối Server Dell chính hãng

ADG Technology – Nhà phân phối Server Dell chính hãng Phân phối Server Dell chính hãng – Tìm hiểu về…

ADG Technology – Nhà phân phối máy chủ DELL chính hãng

ADG Technology – Nhà phân phối máy chủ DELL chính hãng

ADG Technology – Nhà phân phối máy chủ DELL chính hãng. Phân phối máy chủ Dell chính hãng – Tìm…

Hợp thức hóa thiết bị doanh nghiệp với Windows 11 Pro bản quyền chính hãng Microsoft

Hợp thức hóa thiết bị doanh nghiệp với Windows 11 Pro bản quyền chính hãng Microsoft

Windows 11 Pro là hệ điều hành tiên tiến của Microsoft, được tối ưu hóa cho môi trường doanh nghiệp…

Microsoft Office Home and Business 2024, Microsoft 365: Giảm gánh nặng CNTT, thúc đẩy tăng trưởng

Microsoft Office Home and Business 2024, Microsoft 365: Giảm gánh nặng CNTT, thúc đẩy tăng trưởng

Trong thời đại công nghệ số, việc sở hữu một bộ công cụ văn phòng mạnh mẽ, đa năng là…

Vì sao nên chọn Windows 11 Pro chính hãng thay vì dùng phần mềm giả mạo “rẻ mà rủi ro”

Vì sao nên chọn Windows 11 Pro chính hãng thay vì dùng phần mềm giả mạo “rẻ mà rủi ro”

Dùng phần mềm không chính hãng tưởng rằng có thể tiết kiệm chi phí nhưng thực tế đây là khoản…