Tecnologie Fortinet Vulnerabili a “TCP SACK panic attack”

Proto: N011219.

Con la presente Yoroi desidera informarLa riguardo ad alcuni importanti aggiornamenti rilasciati da Fortinet per vari suoi prodotti, tra i quali gli appliance perimetrali FortiGate. 

Le problematiche presenti nei firmware Fortinet sono note con l’alias TCP SACK: lacune nella gestione della memoria nelle funzionalità di Selective Acknowledgement (SACK) dello stack-TCP di sistema, sfruttabili da attaccanti di rete privi di autenticazione per generare condizioni di disservizio (Rif. Early Warning N060619).

Fortinet ha recentemente rilasciato il bollettino di sicurezza FG-IR-19-180 nel quale indica come potenzialmente affette le famiglie di prodotto FortiAnalyzer, FortiAP, FortiSwitch e FortiGate, suggerendo l’aggiornamento alle versioni:

• FortiAnalyzer 6.0.7 o superiore, oppure 6.2.1 o superiore. 
• FortiAP 6.0.6 o superiore, oppure 6.2.1 o superiore.

Considerate le tipologie di dispositivi afflitti ed il potenziale impatto di eventuali attacchi, unite alla disponibilità di dettagli tecnici ed alla potenziale esposizione delle tecnologie vulnerabili, Yoroi consiglia di pianificare l'installazione degli aggiornamenti messi a disposizione dal Produttore e di valutare l’applicazione dei workaround per Fortiswitch, ovvero la configurazione di valori soglia per il parametro Maximum Segment Size, e per FortiGate, abilitando la signature IPS “Linux.Kernel.TCP.SACK.Panic.DoS“.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index