Fortinet抨擊安全廠商在90天保密期限前就揭露其產品漏洞

安全研究人員及產品廠商之間的緊張關係再度引爆。網路安全設備商Fortinet批評安全廠商Rapid 7未遵守業界通用的漏洞通報90天保密期，在還沒到90天前就將Fortinet產品漏洞公諸於世。

本周Rapid 7公布Fortinet網頁應用防火牆產品FortiWeb 管理介面的漏洞。編號CVE-2021-22123的漏洞是一項OS指令注入漏洞，可讓遠端取得授權的攻擊者透過SAML伺服器組態頁面執行任意指令。該漏洞風險值8.8，屬於高風險漏洞，影響FortiWeb管理介面6.3.7以前、6.2.3以前及6.1.x, 6.0.x, 5.9.x版本。

Fortinet 在6月曾發出安全公告，但是預定要到8月底才有修補程式釋出。

Fortinet批評，Rapid 7在6月發現這個漏洞，卻在不到90天就公諸於世，違反了Fortinet漏洞揭露政策中，要求通報者在完整解決漏洞前保密的規定，使他們來不及釋出修補程式。

但是Rapid 7指出，Fortinet 公布的90天保密期是規範他們自己作為資安廠商的規定，他們和第三方安全研究人員的漏洞揭露政策並未說明幾天，於是Rapid 7採用自己的揭露政策，保密漏洞資訊60天。

Rapid 7研究總監Tom Beardsley對媒體表示，該公司於6月10日通報Fortinet，並在6月11日接獲對方確認。之後該公司也曾多次試圖聯繫，但皆未獲得回應。於是60天一到，Rapid 7就公布了這個漏洞，而對方也說即將釋出修補程式。

Rapid 7指出，目前未發現該漏洞被濫用的情形。在修補程式來到之前，用戶應關閉未受信任，包括網際網路連線存取FortiWeb管理介面。

這並非第一次安全廠商和其他網路或軟體業者為公布漏洞而衝突。微軟即多次因為Google Project Zero在它還沒釋出修補程前，便公布漏洞而感到不滿，甚至演變成公布Google產品漏洞作為報復。

（編按：對於此次雙方在漏洞揭露期限的認知落差，臺灣Fortinet在19日也發表聲明，指出Fortinet的漏洞揭露政策在產品資安事件應變小組政策頁面（Fortinet PSIRT Policy page）上都有詳細的敘述，包括漏洞通報者應在Fortinet完成修補、釋出更新給其使用者前應盡的保密規範。因此，Fortinet預期Rapid7在90天保密期限之前，不會揭露其持有的漏洞資訊。目前，預計相關修補預計會在本周前完成，屆時Fortinet將通知使用者更新修補。整理⊙iThome資安主編羅正漢）