FortiSandbox跨站脚本漏洞数据分析报告

Posted 2021-04-29 天融信

事件背景

Fortinet公司是一家总部位于美国的全球性网络安全设备供应商，FortiSandbox是美国飞塔公司的一款APT（高级持续性威胁）防护设备。该设备提供双重沙盒技术、动态威胁智能系统、实时控制面板和报告等功能。

2016年6月国家信息安全漏洞共享平台（CNVD）发布了针对Fortinet（美国飞塔） FortiSandbox设备的跨站脚本漏洞，该漏洞存在于FortiSandbox 2.1之前版本中的用户WEB界面中。

时隔三个月后，2016年05月13日国家信息安全漏洞共享平台又公布了编号为CNVD-2016-03061、CNVD-2016-03062、CNVD-2016-03063、CNVD-2016-03064的四个安全漏洞。

天融信安全云服务中心长期以来密切关注互联网安全态势，对于安全威胁程度高，影响广泛的安全漏洞将进行持续追踪。

数据分析

天融信安全云服务中心在关注到相关事件信息后，及时对全球范围内飞塔设备进行了相应的数据统计与分析。天融信安全云服务中心抽样提取了全球飞塔设备83000余台，对探测出的数据进行了数据统计。

1) 区域分布

通过数据统计可以看出，全球飞塔设备的使用主要分布在经济较发达、信息化水平发展较快的国家和地区，特别是中东亚新兴经济体随着本国信息化发展，涌现出大量信息安全需求，进而表现为此区域信息安全设备上线数量大幅增加。在全球范围内排名前五的国家及地区分别是：中国（含港澳台地区）、美国、印度、韩国、日本。

图一、全球分布情况

图二、全球排名前10的国家

在中国地区，飞塔设备使用主要集中在东南沿海等经济较发达的地区，排名前五的地区分别为：台湾省、广东省、江苏省、上海市、北京市。

图三、全国分布排名前10的地区

2) 运营商分布

通过数据统计可以看出,在我国境内飞塔设备使用主要集中在电信、联通等运营商，与我国互联网基础设施分配比例一致。

图四、国内运营商排名（前10）

3) 版本分布

图五、全球版本统计

漏洞分析及危害

Fortinet（美国飞塔） FortiSandbox 2.1之前版本的Web User Interface(WebUI)中存在跨站脚本漏洞。远程攻击者可借助alerts/summary/profile/ URI的‘serial’参数、csearch/report/export/ URI的‘urlForCreatingReport’参数、analysis/detail/download/screenshot URI的‘id’参数、‘Fortiview threats by users search filtered by vdom’或‘PCAP file download generated by the VM scan feature’利用该漏洞注入任意Web脚本或html。

防范建议

针对此安全漏洞，目前厂商已经发布安全补丁，建议用户参考厂商提供的安全补丁信息，链接如下：
http://fortiguard.com/advisory/multiple-xss-vulnerabilities-in-fortisandbox-webui

注 :

在发布漏洞公告信息之前，天融信安全云服务中心都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果，天融信不承担相应责任。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。