در پشتی FortiOS یک مسئله‌ی مدیریت احراز هویت است

شرکت Fortinet که محصولات امنیت شبکه‌اش شامل سکوی دیوار آتش FortiGate است، در بیانیه‌ای در خصوص یک مشکل امنیتی که به صورت عمومی منتشر کرد، عنوان نمود:‌ «یک در پشتی در سامانه‌ی عامل FortiOS که بسیاری از محصولات این شرکت در بستر آن قرار دارند، یافت شده است.»
Iain Thomson به طور مختصر توضیح داده است:‌ «به نظر می‌رسد مهندسان شرکت Fortinet، روش خاص خود را برای پیاده‌سازی احراز هویت در دستگاه‌هایی که با FortiOS راه‌اندازی می‌شوند به کار برده‌اند و این ساز و کار در نهایت از یک گذرواژه‌ی محرمانه استفاده می‌کند. هر کسی که از این اسکریپت در برابر دیوار‌های آتش آسیب‌پذیر استفاده کند، دسترسی سطح مدیریت در این دستگاه‌ها را دریافت خواهد کرد.»
این شرکت در بیانیه‌ی روشنی که روز سه‌شنبه انتشار داد اعلام کرده است: «مشکل اخیر که به صورت عمومی انتشار یافته، برطرف شده است و در جولای سال ۲۰۱۴ اصلاحیه‌ای در چارچوب تعهد این شرکت برای اطمینان از کیفیت یکپارچگی کدهای پایه‌ی ارائه شده، برای آن منتشر شده است. این مشکل، نه یک نقص از نوع در پشتی، بلکه یک موضوع و مشکل در مدیریت احراز هویت بوده است.»
نسخه‌های ۴.۳.۰ تا ۴.۳.۱۶ و ۵.۰.۰ تا ۵.۰.۷ سامانه‌ی عامل FortiOS تحت تأثیر این مشکل قرار داشته‌اند، اما انتظار می‌رود که بیشتر مدیران فن‌آوری از تاریخ جولای سال ۲۰۱۴ تاکنون نرم‌افزارهای خود را به یکی از نسخه‌هایی که تحت تأثیر مشکل نیستند ارتقاء داده‌اند (نسخه‌های ۴.۳.۱۷ یا بعد از آن و ۵.۰.۸ یا بعد از آن،‌ ۵.۲،‌ یا ۵.۴ و یا آخرین نسخه) برای کسانی که به هر دلیلی نتوانسته‌اند به این نسخه‌ها ارتقاء یابند، راه‌حل‌هایی برای کاهش مشکلات ارائه شده است.
شرکت Fortinet اذعان کرده است که این حفره پرخطر‌ است، اما همچنان تلاش می‌کند که از گره خوردن این مشکل با مشکلات مربوط به چندین در پشتی که اخیراً در تجهیزات در پشتی شرکت Juniper یافت شده‌اند جلوگیری کند. به طور فزاینده‌ای عقیده بر این است که قرار دادن این در پشتی‌ها عمدی بوده است، بیشتر به این دلیل که این شرکت، هنگامی که به انتخاب مولدهای شماره‌های تصادفی در سامانه‌ی عامل ScreenOs در تجهیزات دیوار آتش NetScreen دست زده است گزینش‌های سؤال‌برانگیزی داشته است.
شرکت Fortinet در بیانیه‌ی خود در سه‌شنبه اعلام کرد:‌ «این مشکل توسط تیم امنیت محصولات ما به عنوان بخشی از بررسی‌ها و آزمایش‌های منظم شناسایی شده است. پس از تجزیه و تحلیل دقیق و بررسی انجام گرفته، ما قادر بودیم که تأیید کنیم مشکل ایجاد شده توسط هیچ فعالیت مخربی نه به شکل درونی و نه به شکل بیرونی ایجاد نشده است.»
درپی افشاگری که در مورد در پشتی محصولات شرکت Juniper صورت گرفت، شرکت سیسکو اعلام کرده است که به بررسی نرم‌افزارهای نصب شده در دستگاه‌های خود می‌پردازد و به جست‌وجوی در پشتی، اعتبارنامه حساب‌های کاربری توکار و مستند نشده، کانال‌های ارتباطی پنهانی و انحراف ترافیک‌های مستند نشده خواهد پرداخت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.