圖片來源: 

Fortinet

安全研究人員及產品廠商之間的緊張關係再度引爆。網路安全設備商Fortinet批評安全廠商Rapid 7未遵守業界通用的漏洞通報90天保密期,在還沒到90天前就將Fortinet產品漏洞公諸於世。

本周Rapid 7公布Fortinet網頁應用防火牆產品FortiWeb 管理介面的漏洞編號CVE-2021-22123的漏洞是一項OS指令注入漏洞,可讓遠端取得授權的攻擊者透過SAML伺服器組態頁面執行任意指令。該漏洞風險值8.8,屬於高風險漏洞,影響FortiWeb管理介面6.3.7以前、6.2.3以前及6.1.x, 6.0.x, 5.9.x版本。

Fortinet 在6月曾發出安全公告,但是預定要到8月底才有修補程式釋出。

Fortinet批評,Rapid 7在6月發現這個漏洞,卻在不到90天就公諸於世,違反了Fortinet漏洞揭露政策中,要求通報者在完整解決漏洞前保密的規定,使他們來不及釋出修補程式。

但是Rapid 7指出,Fortinet 公布的90天保密期是規範他們自己作為資安廠商的規定,他們和第三方安全研究人員的漏洞揭露政策並未說明幾天,於是Rapid 7採用自己的揭露政策,保密漏洞資訊60天。

Rapid 7研究總監Tom Beardsley對媒體表示,該公司於6月10日通報Fortinet,並在6月11日接獲對方確認。之後該公司也曾多次試圖聯繫,但皆未獲得回應。於是60天一到,Rapid 7就公布了這個漏洞,而對方也說即將釋出修補程式。

Rapid 7指出,目前未發現該漏洞被濫用的情形。在修補程式來到之前,用戶應關閉未受信任,包括網際網路連線存取FortiWeb管理介面。

這並非第一次安全廠商和其他網路或軟體業者為公布漏洞而衝突。微軟即多次因為Google Project Zero在它還沒釋出修補程前,便公布漏洞而感到不滿,甚至演變成公布Google產品漏洞作為報復

(編按:對於此次雙方在漏洞揭露期限的認知落差,臺灣Fortinet在19日也發表聲明,指出Fortinet的漏洞揭露政策在產品資安事件應變小組政策頁面(Fortinet PSIRT Policy page)上都有詳細的敘述,包括漏洞通報者應在Fortinet完成修補、釋出更新給其使用者前應盡的保密規範。因此,Fortinet預期Rapid7在90天保密期限之前,不會揭露其持有的漏洞資訊。目前,預計相關修補預計會在本周前完成,屆時Fortinet將通知使用者更新修補。整理⊙iThome資安主編羅正漢)


熱門新聞

Advertisement