זה פוסט קצר אבל חשוב. בשבוע שעבר Fortinet פרסמו אזהרה על פגיעות חדשה במוצר שלהם FortiAuthenticator – השרת שמנהל את האימות הדו-שלבי, את ה-RADIUS ואת הזהויות אצל הרבה ארגונים. אם זה רץ אצלכם בארגון, יש מה לעשות השבוע.
רגע, מה זה FortiAuthenticator?
בקיצור, זה הקופסה (או ה-VM) שיושבת ב-IT ומנהלת את כל מה שקשור לזהויות וגישה: אימות דו-שלבי לעובדים שמתחברים ל-VPN, אינטגרציה מול Active Directory, ניהול אסימוני FortiToken, רישום LDAP/RADIUS למכשירי רשת. ארגונים שעובדים סביב פורטינט בדרך כלל יציבו אותו בלב הפתרון, כי הוא חוסך את הצורך להגדיר כל מכשיר בנפרד.
כלומר, אם FortiAuthenticator נופל או נפרץ, נופלת איתו כל מערכת הכניסה של העובדים. וזו בדיוק הסיבה שפגיעות בו זה לא משהו לדחות לחודש הבא.
מה הפגיעות החדשה
הפגיעות סווגה כ-CWE-284 (Improper Access Control). בעברית פשוטה: אפשר לגשת לפעולות מסוימות בלי הזדהות. תוקף שלא מחובר למערכת יכול לשלוח בקשה בנויה בקפידה לממשק ה-API, ולהריץ קוד או פקודות. בלי סיסמה, בלי טוקן, בלי כלום.
הגרסה Cloud (FortiAuthenticator Cloud) לא מושפעת – שם מיקרוסופט, סליחה, פורטינט, אחראים על העדכון. אבל הגרסה המקומית שמותקנת אצל הלקוח חשופה ומחייבת פעולה.
מה לעשות עכשיו
הפתרון המסודר הוא לעדכן לגרסה המתוקנת לפי ההמלצות של Fortinet ב-PSIRT שלהם. עד שמגיעים לשם, יש workaround שמקטין מאוד את הסיכון: לבטל גישת API בממשקים שחשופים לאינטרנט. זה נעשה דרך:
Network > Interfaces > Access Rights
אם יש לכם FortiAuthenticator שמשרת רק את הרשת הפנימית – הסיכון מצומצם בעיקר לאיום פנימי, אבל עדיין שווה לטפל. אם ה-management interface חשוף ל-WAN (וזה קורה יותר ממה שהייתם מצפים) – תפעלו השבוע, לא בשבוע הבא.
נקודה רחבה יותר: למה זה לא ייגמר
זו לא הפגיעות הראשונה השנה במוצרי Fortinet, ולא תהיה האחרונה. בחודשים האחרונים פורסמו פגיעות חמורות גם ב-FortiOS, FortiWeb, FortiSandbox, FortiManager ועוד. חלקן נצרבו ב-KEV של CISA, כלומר נוצלו בפועל ב-wild.
זה לא אומר שפורטינט "רע" – הם פשוט מוצר נפוץ, ומה שנפוץ נחקר. אבל זה כן אומר שאם אתם מסתמכים על הציוד הזה, אתם חייבים תהליך פעיל של מעקב אחרי PSIRT advisories ותחזוקה שוטפת. מי שמכיר את הסביבה הטכנית של פורטינט יודע שהעדכונים זה לא תמיד "next next finish", במיוחד בסביבת HA או כשיש תלות במכשירים אחרים.
בדיקה מהירה אצלכם
שתי שאלות שכדאי לעצור ולשאול היום:
- מי בארגון יודע לזהות אם יש לנו FortiAuthenticator, ומאיזו גרסה?
- האם יש תהליך מסודר לעדכון – או שזה תלוי בכך שמישהו יראה את הכתבה במקרה?
אם התשובה לאחת מהשאלות היא "לא יודע", זו הסיבה שהפוסט הזה נכתב. עדכונים שמתעכבים זה אחד הוקטורים הכי נפוצים של פריצות בארגונים בינוניים בישראל. לא בגלל שאין כלים – בגלל שאין מעקב.
אם תרצו עזרה במיפוי מהיר של ציוד הפורטינט אצלכם, בדיקת הגרסאות הקיימות והחלת העדכונים הנכונים, צרו קשר עם M-Challenge. תהליך כזה נראה כמו עבודה גדולה אבל בפועל לוקח שעות בודדות אצל ארגון בינוני – והשקט שלו שווה הרבה יותר.
בנוסף, אם עדיין לא הפעלתם אימות דו-שלבי על הציוד עצמו, יש לנו מדריך קצר להפעלת 2FA על מכשירי פורטינט שמסביר איך לעשות את זה נכון.