Desde a terça-feira dia 17 de agosto a mídia de segurança publica detalhes do atrito entre a Fortinet e a Rapid7, causado pela publicação, por parte da Rapid7, de uma vulnerabilidade do FortiWeb – um firewall de aplicativo da web (WAF), projetado para capturar exploits antes que eles possam ser executados. A publicação da Rapid7 informa que a vulnerabilidade “permite injeção de comando do sistema operacional na interface de gerenciamento dos FortiWeb (versões 6.3.11 e anteriores), podendo permitir que um invasor remoto autenticado execute comandos arbitrários no sistema, por meio da página de configuração do servidor SAML”. O relatório acrescenta que “esta é uma instância do CWE-78: Neutralização imprópria de elementos especiais usados em um comando do sistema operacional (‘injeção de comando do sistema operacional’) e tem uma pontuação básica CVSSv3 de 8,7. Esta vulnerabilidade parece estar relacionada ao CVE-2021-22123, que foi abordado no FG-IR-20-120”.
Veja isso
Fortinet oferece capacitação gratuita em ciber para empresas
Rapid7 adquire a IntSights Cyber Intelligence
O portal ZDNet, um dos primeiros a publicar a notícia, recebeu de um porta-voz da Fortinet informações segundo as quais a Rapid7 violou os termos do acordo de divulgação. O porta-voz disse que a Fortinet tem uma política de divulgação clara em sua página de Política PSIRT, que inclui “pedir aos remetentes do incidente que mantenham sigilo absoluto até que resoluções completas estejam disponíveis para os clientes”.
O portal acrescentou que a Rapid7 contestou a ideia de que havia violado as regras da Fortinet, observando que a janela de 90 dias mencionada pela Fortinet é apenas a que ela estabelece para as suas próprias divulgações, quando ela identifica vulnerabilidades em sistemas de outras empresas.
A Rapid7 informou que entrou em contato com a Fortinet várias vezes para trabalhar no problema, mas não obteve resposta, decidindo então seguir suas próprias políticas de divulgação ao publicar o relatório. Segundo a Rapid7 a sequência dos acontecimentos foi a seguinte:
- Junho, 2021: problema descoberto e validado por William Vu, da Rapid7
- Quinta, 10 de Junho, 2021: Revelação inicial ao fornecedor via PSIRT Contact Form
- Sexta, 11 de Junho, 2021: Reconhecimento pelo fornecedor (ticket 132097)
- Quarta, 11 de Agosto, 2021: Follow up com o fornecedor
- Terça, 17 de Agosto, 2021: Revelação pública
- Terça, 17 de Agosto, 2021: O fornecedor indicou que o Fortiweb 6.4.1 deverá ser reparado, e será publicado no final de Agosto
Com informações das agências de notícias internacionais