Fortinet 今天证实,上周修补的一个关键身份验证绕过安全漏洞正在被广泛利用。
安全漏洞 (CVE-2022-40684) 是管理界面上的身份验证绕过,使远程威胁参与者能够登录到 FortiGate 防火墙、FortiProxy Web 代理和 FortiSwitch Manager (FSWM) 本地管理实例。
“在 FortiOS、FortiProxy 和 FortiSwitchManager 中使用备用路径或通道漏洞 [CWE-288] 绕过身份验证可能允许未经身份验证的攻击者通过特制的 HTTP 或 HTTPS 请求在管理界面上执行操作,”Fortinet 在今天发布的一份咨询中说.
该公司周四发布了安全更新以解决此漏洞。它还通过电子邮件(称为“高级通信”)提醒一些客户“以最紧迫的方式”禁用受影响设备上的远程管理用户界面。
当 BleepingComputer 周五联系并暗示该公司将在未来几天分享更多信息时,当被问及该漏洞是否在野外被积极利用时,Fortinet 发言人拒绝发表评论。
今天,在发布私人公告几天后,Fortinet 终于承认它知道至少有一次 CVE-2022-40684 被利用的攻击。
该公司表示:“Fortinet 知道此漏洞被利用的一个实例,并建议根据设备日志中的以下危害指标立即验证您的系统:user=”Local_Process_Access”。
Fortinet 易受攻击的产品的完整列表,如果不打补丁,就会受到试图利用 CVE-2022-40 漏洞的攻击,包括:
- FortiOS:7.2.1、7.2.0、7.0.6、7.0.5、7.0.4、7.0.3、7.0.2、7.0.1、7.0.0
- FortiProxy:7.2.0、7.0.6、7.0.5、7.0.4、7.0.3、7.0.2、7.0.1、7.0.0
- FortiSwitchManager:7.2.0、7.0.0
Fortinet 上周发布了安全补丁,并要求客户将易受攻击的设备更新到 FortiOS 7.0.7 或 7.2.2 及更高版本、FortiProxy 7.0.7 或 7.2.1 及更高版本以及 FortiSwitchManager 7.2.1 或更高版本,以保护他们的设备免受攻击。
PoC 漏洞利用准备发布
Horizon3 攻击团队的安全研究人员开发了概念验证 (PoC) 漏洞利用代码,并于本周晚些时候宣布发布。
另一个设备漏洞…
CVE-2022-40684,影响多个#Fortinet解决方案,是一种身份验证绕过,允许远程攻击者与所有管理 API 端点进行交互。
博客文章和 POC 将于本周晚些时候发布。现在打补丁。pic.twitter.com/YS7svIljAw
— Horizon3 攻击团队 (@Horizon3Attack) 2022 年 10 月 10 日
根据Shodan 搜索,可以从 Internet 访问超过 140,000 个 FortiGate 防火墙,如果它们的管理员管理界面也暴露在外,它们很可能会受到攻击。
解决方法也可用
Fortinet 还提供了有关客户如何阻止传入攻击的信息,即使他们无法立即部署安全更新。
要阻止远程攻击者绕过身份验证并登录到易受攻击的设备,管理员应禁用 HTTP/HTTPS 管理界面或使用本地策略限制可以访问管理界面的 IP 地址。
有关如何禁用 FortiOS、FortiProxy 和 FortiSwitchManager 易受攻击的管理界面或限制每个 IP 地址的访问的详细信息,请参阅10 月 10 日星期一发布的Fortinet PSIRT公告。
“如果这些设备无法及时更新,则应立即禁用面向互联网的 HTTPS 管理,直到可以执行升级,”Fortinet 在上周发送给部分客户的通知中表示。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Fortinet表示攻击中利用了关键的身份验证绕过漏洞
