Компания Fortinet, разрабатывающая решения в сфере кибербезопасности, продемонстрировала удивительную нерасторопность в обеспечении безопасности собственных продуктов. Ранее Штефан Вихбек, исследователь SEC Consult, обнаружил уязвимости в продуктах от Fortinet - сетевых защитных экранах FortiOS for FortiGate и антивирусном ПО FortiClient для операционных систем macOS и Windows. Названные продукты использовали достаточно слабое XOR-шифрование, а криптографический ключ был «зашит» непосредственно в их код. Имея доступ к трафику человека или компании, использовавших продукты Fortinet, злоумышленник получал потенциальную возможность, например, просматривать все посещенные в ходе веб-сессий адреса и данные сообщений электронной почты, отправленных на проверку AntiSpam в облачные сервисы FortiGate. Более того, злоумышленник мог также подменять ответы этих сервисов, скрывая уведомления об обнаруженных угрозах.
Штефан Вихбек выявил эти уязвимости еще в мае 2018 года и тут же уведомил о них компанию Fortinet. Но дальше началось нечто странное. Обычно компании отвечают на информацию о найденных уязвимостях в течение одного дня. У Fortinet на это ушло три недели. Что касается выпуска патчей, устраняющих уязвимости, то этот процесс и вовсе оказался рекордно долгим. Последнее из необходимых обновлений было выпущено лишь в текущем месяце. Таким образом, компании, занимающейся обеспечением кибербезопасности, потребовалось 18 месяцев, чтобы сделать безопасным собственный продукт. Представители Fortinet пока никак не прокомментировали эту ситуацию.
Источник: ZDNet
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970