Rekomendacja została wydana na podstawie art. 33 ust. 4a ustawy dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2023 poz. 913 i 1703), po uprzednich konsultacjach z zespołami CSIRT poziomu krajowego oraz zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa.

Rekomenduję podmiotom krajowego systemu cyberbezpieczeństwa¹  bezzwłoczną aktualizację produktów Fortinet do najnowszych dostępnych wersji dla danej linii FortiOS/FortiProxy oraz FortiClientEMS. Na dzień wydania niniejszej rekomendacji najnowsze wersje to:
•    FortiOS/FortiProxy – 7.4.3;
•    FortiOS/FortiProxy – 7.2.8;
•    FortiOS/FortiProxy – 7.0.14;
•    FortiOS/FortiProxy – 6.4.15;
•    FortiClientEMS – 7.2.3;
•    FortiClientEMS – 7.0.11;

Ponadto rekomenduję w systemach informacyjnych²  dla wersji oprogramowania Fortinet, które nie mają wsparcia (status End of Life), wyłączenie urządzenia z eksploatacji, przeprowadzenie procesu migracji do nowszych wersji lub dokonanie zmiany rozwiązania.

Pełnomocnik przeprowadził konsultację w powyższym zakresie z CSIRT MON, CSIRT NASK oraz CSIRT GOV, na podstawie której została potwierdzona możliwość wystąpienia incydentu krytycznego w przypadku niezastosowania się do powyższej rekomendacji.  

Kolegium³ 26 marca 2024 r. wyraziło pozytywną opinię w zakresie powyższej rekomendacji oraz w zakresie wydawania podobnych rekomendacji w przypadku istnienia możliwości wystąpienia incydentu krytycznego w stosunku do konkretnych wersji oprogramowania. 

Podmiot krajowego systemu cyberbezpieczeństwa może wnieść zastrzeżenia do niniejszej rekomendacji na zasadach określonych w ustawie o KSC⁴.

 

[1] Podmioty, o których mowa w art. 4 ustawy o KSC.

[2] System, o którym mowa w art. 2 pkt 14 ustawy o KSC.

[3] Kolegium, o którym mowa w art. 64 ustawy o KSC.

[4] Art. 33 ust. 5 ustawy o KSC.