Bilermenler Fortinet FortiOS VPN gowşaklyklary edaralara zyýan ýetirmek üçin ulanyp bolýandygy barada habar berdiler.

Fortinet FortiOS SSL VPN tehnologiýasy, köplenç, torara ekranlarda ulanylyp, gizlin içerki ulgamlary köpçülige açyk internetden goraýar. Bilermenleriň sözlerine görä, ýaramaz niýetli ulanyjylar CVE-2020-12812 we CVE-2019-5591 gowşaklyklary üçin düzedişleri gurnalmadyk serwerleri hem-de CVE-2018-13379 belgili gowşaklygy bolan enjamlary gözleýärler. Düzedilen üç sany gowşaklyklardan (CVE-2018-13379 we CVE-2020-12812) ikisi has howply bolup, awtorizasiýa bolmadyk ýaramaz niýetli ulanyjy üçin hasaba alyş maglumatlary ogurlamak we gowşak VPN gurnamalara baglanmak mümkinçilikleri berýär.

VPN hasaba alyş maglumatlary beýleki içerki hyzmatlar (ýagny, Active Directory, LDAP) tarapyndan hem ulanylýan bolsa, ýaramaz niýetli ulanyjy ogurlanan hasaba alyş maglumatlaryň kömegi bilen ygtyýarly ulanyjynyň hukuklary bilen bu hyzmatlara aralaşmak mümkinçiligini gazanyp biler. Soňra ol dürli içerki hyzmatlarda gowşaklyklary tapmak üçin tory derňäp biler.

Fortinet sahypasynda: «CVE-2018-13379 belgili gowşaklyk häzirki wagtda düzedilen öňden belli gowşaklyk bolup durýar. Fortinet bu gowşaklyk üçin 2019-njy ýylyň maý aýynda howpsuzlyk maslahatyny - FG-IR-18-384 çykardy. CVE-2019-5591 belgili gowşaklyk 2019-njy ýylyň iýul aýynda (howpsuzlyk maslahaty - FG-IR-19-037) we CVE-2020-12812 belgili gowşaklyk bolsa 2020-nji ýylyň iýul aýynda (howpsuzlyk maslahaty - FG-IR-19-283) düzedildi. Biz ulanyjylara gysga wagtyň içinde täzelenmeleri gurnamagy we howplary azaltmak boýunça çäreleri görmegi berk maslahat berýäris.» - diýip habar berdi.