En fungerande exploatering för att kringgå autentiseringsprotokollen i Fortinet-enheter är i det vilda, vilket kan låta intrång nå dina enheter för att göra vad de vill!
Denna kritiska bugg råder i FortiProxy, FortiSwitchManager och praktiskt taget i alla enheter som körs på FortiOS. Även om tillverkaren släppte en patch för att fixa den, är det slutkunderna som måste använda den för att skydda sig själva.
Fortinet Authentication Bypass Bug
Sedan det handlar om nätverkssäkerhet är Fortinet ofta utsatt för risker för cyberattacker. Så det föreslår att dess användare korrigerar alla kända sårbarheter i sina enheter för att skydda sig själva.
Den senaste i sådana varningar har handlat om CVE-2022-40684 – ett säkerhetsfel i Fortinets FortiOS-, FortiProxy- och FortiSwitchManager-enheter som låter angripare kringgå autentiseringen och praktiskt taget göra vad de vill med det komprometterade systemet.
Horizon3.ai säkerhetsforskare har släppt en proof-of-concept (POC) exploatering för denna bugg efter att ha lovat att släppa en senare i veckan. PoC innehåller till och med en teknisk grundorsaksanalys för denna sårbarhet, vilket gör förståelsen lättare.
Ännu en apparat har drabbats…
CVE-2022-40684, påverkar flera #Fortinet lösningar, är en autentiseringsbypass som gör att fjärrangripare kan interagera med alla hanterings-API-slutpunkter.
Blogginlägg och POC kommer senare i veckan. Patcha nu. pic.twitter.com/YS7svIljAw
— Horizon3 Attack Team (@Horizon3Attack) 10 oktober 2022
Angripare som utnyttjar denna bugg kan kringgå autentiseringsprocessen på det administrativa gränssnittet för FortiGate-brandväggar, FortiProxy-webbproxies och FortiSwitch Manager (FSWM) lokala hanteringsinstanser och gör följande;
- Ändring av administratörsanvändarnas SSH-nycklar så att angriparen kan logga in på det komprometterade systemet.
- Lägger till nya lokala användare.
- Uppdatera nätverkskonfigurationer för att omdirigera trafik.
- Laddar ner systemkonfigurationen.
- Initierar paketfångst för att fånga annan känslig systeminformation.
Även om det till en början nekades att kommentera, Fortinet avslöjade så småningom att det är medvetet om aktivt utnyttjande av denna bugg i naturen. För att kontrollera om din Fortinet-enhet är påverkad eller inte, kontrollera enheternas loggar för user=” Local_Process_Access”, user_interface=” Node.js”, eller user_interface=” Report Runner”.
Och om du inte kan applicera ett plåster, Fortinet föreslagna lösningar att inaktivera HTTP/HTTPS administrativa gränssnitt eller begränsa IP-adresserna genom en Local in Policy för dina enheter.
Fortinet släppte patchar för detta fel i torsdags och uppmanade kunderna att ansöka omedelbart för att hålla sig säkra. Det är så allvarligt som CISA har la Fortinets bugg till sin lista över säkerhetsfel och tvingar alla Federal Civilian Executive Branch-byråer att patcha sina enheter senast den 1 november.