Ícone do site Conviso AppSec

Uma visão geral do CVE-2021-41020

cve

O assunto deste artigo é a vulnerabilidade CVE-2021-41020 – a qual encontrei no FortiIsolator – um produto da Fortinet. Mas antes, acho que pode ser interessante contextualizar alguns detalhes antes de abordar a CVE.

Você também pode ouvir esse conteúdo:

No ano passado, a OWASP lançou o Top 10 2021, uma documentação de conscientização voltada para segurança de aplicações web e para desenvolvedores. Ela representa um amplo consenso sobre os riscos de segurança mais críticos para aplicações.

Nesta lista, o risco chamado Broken Access Control subiu da 5ª posição na lista para a 1ª. De acordo com o OWASP, 94% das aplicações foram testadas para alguma forma de controle de acesso quebrado.

Tendo isto em mente, a CVE -2021-41020 é considerada uma vulnerabilidade (CWE-284: Improper Access Control) que está categorizada, neste contexto, na OWASP Top 10 A01 2021.

Em março de 2022 eu falei em um evento, ocasião na qual abordei algumas vulnerabilidades que encontrei (sobre A01 2021 – Broken Access Control). Posteriormente, em 3 de maio, foi lançada uma correção de bug de outra vulnerabilidade que entra nesta categoria de risco. Você pode conferir no site da Fortinet Part.

O processo de descoberta

Primeiramente foi criado um ambiente de teste para validar o funcionamento deste software. Então percebi que o software tinha um comportamento incomum quando o usuário em modo somente-leitura era aplicado. Neste momento, fiz um mapa de endpoints críticos, então identifiquei que o recurso “CA Re-Generate” é um componente importante para a finalidade do software.

CVE – 2021-41020: a vulnerabilidade

Para validar se havia uma vulnerabilidade no software, algumas tarefas foram necessárias:

Para corrigir o problema, as seguintes ações são necessárias:

Quando o problema está relacionado a quebra de controle de acesso, é importante:

Conclusão

Para evitar problemas semelhantes, aplique os conceitos de Security By Design, Shift-Left, estabeleça requisitos antes da implementação do software e procure aspectos de segurança durante o planejamento da arquitetura. Se você tiver alguma dúvida sobre isso, entre em contato com nossa equipe!

Política de divulgação

A vulnerabilidade foi relatada seguindo as Políticas de Divulgação da Fortinet Company.

Sair da versão mobile