Az új Fortinet-hibával bárki adminisztrátor lehet – ha elég gyors
Egy súlyos biztonsági rés látott napvilágot a népszerű FortiWeb webalkalmazás-tűzfalnál, amely lehetővé teszi a támadók számára, hogy teljesen megkerüljék a bejelentkezést. Az ismert mesterséges intelligencia szakértő, Aviv Y által felfedezett sérülékenységet FortMajeure néven emlegetik, amely a sütik (cookie-k) kezelésének hibájából ered: az Era paraméter veszélyes manipulálásával a szerver minden titkosító és aláíró kulcsot nullára állít, így a támadó könnyedén készíthet hamis hitelesítési sütit.
A támadás menete: egyszerre ijesztő és gyerekjáték
Az exploit kihasználásához csak annyi szükséges, hogy az áldozat éppen aktív legyen a rendszerben – vagyis ne lépjen ki. A támadónak mindössze egy kis számmezőt kell eltalálnia, ami általában 30 körüli érték. Ez mindössze 30 próbálkozást jelent, így néhány másodperc alatt átvehető bármely felhasználó – akár rendszergazda – jogosultsága.
A támadást követően a támadó teljesen imitálhatja a valódi felhasználókat, sőt, az adminisztrátori szerepet is átveheti. Az egyetlen nehézség, hogy a Fortinet saját formátumait visszafejteni a támadónak nehézkes, de a szakértő szerint a hackerek pillanatok alatt alkalmazkodnak.
Mely verziók érintettek és mit tehetünk?
A sebezhetőség a FortiWeb 7.0-tól 7.6-ig minden verziót érint, és csak az alábbi frissítésekben javították: 7.6.4, 7.4.8, 7.2.11, 7.0.11, valamint ezeknél újabb kiadásokban.
A FortiWeb 8.0 és újabb rendszerek már biztonságosak. Külön workaround vagy részmegoldás nem ismert: kizárólag a gyors frissítés védi meg a rendszert. A cég által közölt 7.7-es CVSS veszélyességi pontszám félrevezető lehet, hiszen a támadás valójában szinte gyerekjáték.
Bár a teljes exploitkód még nem nyilvános, a szakértő hamarosan kiadja – addig is a rendszergazdáknak ez az utolsó esélyük a frissítésre. A hackerek folyamatosan vadásznak az ilyen hírekre, és hamarosan rendszereket törhetnek fel vele. Egy friss felmérés szerint az IT környezetek 46%-ánál már most feltörték a jelszavakat, szemben az egy évvel ezelőtti 25%-kal. A tapasztalat azt mutatja: aki időben lép, annak a rendszere marad épen.
A pénzügyi világban új verseny bontakozik ki: a hagyományos nagybankok – a JPMorgan és a Goldman Sachs – egyre komolyabban fontolgatják, hogy belépnek az úgynevezett előrejelzési piacok területére...
Az amerikai Élelmiszer- és Gyógyszerügyi Hivatal (FDA) engedélyezte az Eli Lilly legújabb, GLP-1 típusú, szájon át szedhető gyógyszerét, a Foundayo-t...
🚽 2026 áprilisában négy űrhajós indul útnak a Hold felé az Artemis II-misszió keretében, és magukkal visznek egy olyan űrtoalettet, amely a szó szoros értelmében forradalmasítja az űrutazás komfortját...
🍫 Évtizedek óta rajonganak érte, de a Reese’s mogyoróvajas csészék (Reese’s Peanut Butter Cups) népszerűsége ellenére az utóbbi időben változtattak a recepten: néhány különleges alkalomra készült terméken, például a kis húsvéti tojásokon, csökkent a valódi csokoládé aránya, olcsóbb összetevőkkel helyettesítve azt...
Nyolc évvel ezelőtt indult útjára az 1.1.1.1 nyilvános DNS-feloldó, amelynek célja nem kevesebb volt, mint a világ leggyorsabb, a magánszférát tiszteletben tartó szolgáltatásának létrehozása...
Washingtonban mondott beszédében Harry herceg kemény hangot ütött meg a közösségi oldalak működésével kapcsolatban, amikor elismerően szólt két friss, nagy horderejű perről, amelyek főként a gyerekek védelmét érintik...
😴 A korán kezdődő munkanapok milliók mindennapjait keserítik meg, hiszen a hajnalban kezdődő műszak biológiailag kényszerű kompromisszum: az agy ilyenkor még alvásra van programozva, a teljesítmény pedig jelentősen csökken...
🚀 Elon Musk újra a figyelem középpontjában: a SpaceX titokban beadta a tőzsdei bevezetéshez szükséges papírokat az Egyesült Államok Értékpapír- és Tőzsdebizottságához...
Jack Dorsey, a Block alapítója és vezérigazgatója szerint a vállalatok egy új működési korszak küszöbén állnak, amelyben a középvezetői réteg szerepét nagyrészt a mesterséges intelligencia veheti át...
A Google sürgősséggel adott ki frissítést a Chrome böngészőhöz, miután felfedeztek egy negyedik, ebben az évben aktívan kihasznált nulladik napi hibát...
Ez a jelenség jól illusztrálható azzal, hogy az Apple, amely évtizedeken át forradalmasította a technológiai világot és termékeivel új szokásokat teremtett, ma saját történetének egyik legkritikusabb szakaszához érkezett...
Egy kanadai tinédzser élete teljesen felborult, amikor szinte egyik napról a másikra testét ismeretlen eredetű csalánkiütések lepték el, valahányszor víz érte a bőrét...
Érdemes megvizsgálni, hogy a tokenizáció, vagyis eszközök blokklánc-alapú nyilvántartása és átruházása miért vált az utóbbi évek egyik legnagyobb kriptós hívószavává...
🛡 2026 tavaszán a világ legnagyobb kiberbiztonsági konferenciáján futótűzként terjedt egy nyugtalanító felismerés: soha nem volt még ilyen rövid az ablak, amelyen keresztül a védelmezők megállíthatják a támadásokat...
A NASA továbbra is április 1-re tervezi az Artemis II küldetés indítását, és jelenleg sem az űrhajóval, sem a csapattal kapcsolatban nincs jelentős technikai probléma...
Steve Jobs neve egybeforrt az Apple-lel, az iPhone‑nal, iPaddal és iMaccal, mégis egészen másból származott az a vagyon, amely később milliárdossá tette...
