פורטינט הסתירה במשך יותר משבועיים פרצת אבטחה חמורה שנוצלה בפועל

משרדי פורטינט. תמונה: יחצ

בשבוע שעבר דיווחה פורטינט על הכנסות של 1.72 מיליארד דולר ברבעון האחרון אבל דבר אחד קטן נשמט מהדוח: אחד ממוצרי הדגל של החברה סבל מפרצת אבטחה חמורה שנוצלה בפועל, מבלי שהלקוחות קיבלו על כך התרעה בזמן אמת.

הפרצה התגלתה בחומת האש FortiWeb ומאפשרת לתוקפים להריץ פקודות ניהוליות ולהשתלט לחלוטין על המערכת כל עוד היא לא עודכנה לגרסה 8.0.2. מה שמעורר ביקורת חריפה במיוחד הוא שפורטינט תיקנה את הפרצה כבר ב-28 באוקטובר, אבל לא פרסמה כל התרעה, לא הקצתה לה מספר CVE, ורק לאחר 17 ימים אישרה שהתקיפה מתרחשת בפועל. גם ב-release notes של FortiWeb 8.0.2 אין אזכור לכך שמדובר בעדכון אבטחה קריטי.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

פרצה בשטח, שתיקה מהספק

רק בסוף השבוע התחילו לצאת דיווחים על פרצת האבטחה וגם הם לא הגיעו מטעמה של פורטינט, אלא מחוקרי אבטחה ורשויות פדרליות כולל סוכנות CISA, שפנו ללקוחות. CISA הוסיפה את הפרצה לקטלוג הפרצות המנוצלות בפועל והציבה לוחות זמנים קצרים במיוחד לתיקון. דירוג החומרה אגב, נקבע על 9.8 מתוך 10.

את הפרצה זיהו חוקרי Defused כבר בתחילת אוקטובר, ופרסמו הוכחת היתכנות לניצול שלה. צוות watchTowr המשיך את המגמה ופרסם ניתוח טכני וגם כלי סריקה למציאת מערכות חשופות. לדברי מנכ"ל החברה, בן האריס: "ההתקפות היו רחבות ואגרסיביות כבר בתחילת אוקטובר. השתיקה של החברה רק החמירה את המצב". עם זאת, הוא הוסיף כי ייתכן שפורטינט עצמה לא הבינה את חומרת הפרצה בזמן אמת, מה שלא מצדיק את העיכוב בפרסום.

פורטינט מסרה כי החלה לטפל בפרצה מייד עם גילויה, ועדכנה את הלקוחות שנפגעו. נכון לעכשיו, לא פורסמו שמות של ארגונים שנפגעו, אך יש אינדיקציות לכך שהתוקפים יצרו חשבונות אדמין חדשים כדי לשמר שליטה מתמשכת במערכות.