Нескорая помощь от Fortinet

Компания Fortinet, разрабатывающая решения в сфере кибербезопасности, продемонстрировала удивительную нерасторопность в обеспечении безопасности собственных продуктов. Ранее Штефан Вихбек, исследователь SEC Consult, обнаружил уязвимости в продуктах от Fortinet - сетевых защитных экранах FortiOS for FortiGate и антивирусном ПО FortiClient для операционных систем macOS и Windows. Названные продукты использовали достаточно слабое XOR-шифрование, а криптографический ключ был «зашит» непосредственно в их код. Имея доступ к трафику человека или компании, использовавших продукты Fortinet, злоумышленник получал потенциальную возможность, например, просматривать все посещенные в ходе веб-сессий адреса и данные сообщений электронной почты, отправленных на проверку AntiSpam в облачные сервисы FortiGate. Более того, злоумышленник мог также подменять ответы этих сервисов, скрывая уведомления об обнаруженных угрозах.

Штефан Вихбек выявил эти уязвимости еще в мае 2018 года и тут же уведомил о них компанию Fortinet. Но дальше началось нечто странное. Обычно компании отвечают на информацию о найденных уязвимостях в течение одного дня. У Fortinet на это ушло три недели. Что касается выпуска патчей, устраняющих уязвимости, то этот процесс и вовсе оказался рекордно долгим. Последнее из необходимых обновлений было выпущено лишь в текущем месяце. Таким образом, компании, занимающейся обеспечением кибербезопасности, потребовалось 18 месяцев, чтобы сделать безопасным собственный продукт. Представители Fortinet пока никак не прокомментировали эту ситуацию.

Источник: ZDNet