概念验证利用代码现在可用于影响 Fortinet 的 FortiOS、FortiProxy 和 FortiSwitchManager 设备的关键身份验证绕过漏洞。
此安全漏洞 (CVE-2022-40684) 允许攻击者绕过 FortiGate 防火墙、FortiProxy Web 代理和 FortiSwitch Manager (FSWM) 本地管理实例的管理界面上的身份验证过程。
Fortinet 上周四发布了安全更新来解决这个漏洞。它还 敦促 私人警报中的客户“以最紧迫的方式”禁用受影响设备上的远程管理用户界面。
在宣布 本周将提供 CVE-2022-40684 PoC之后, Horizon3.ai 安全研究人员 今天发布了该漏洞的概念验证 (PoC) 漏洞利用 和技术根本原因分析 。
PoC 漏洞利用旨在滥用身份验证绕过漏洞,为从命令行启动 Python 脚本时指定的用户设置 SSH 密钥。
“攻击者可以利用这个漏洞对易受攻击的系统做任何他们想做的事情。这包括更改网络配置、添加新用户和启动数据包捕获,” Horizon3.ai 漏洞利用开发人员 James Horseman解释说。
“这种利用似乎遵循了最近发现的企业软件漏洞中的一种趋势,即 HTTP 标头未得到正确验证或过度信任。”
此外,根据 之前的 Horizon3.ai 分析,攻击者还可能通过以下方式进一步危害系统:
- 修改管理员用户的 SSH 密钥,使攻击者能够登录受感染的系统。
- 添加新的本地用户。
- 更新网络配置以重新路由流量。
- 下载系统配置。
- 启动数据包捕获以捕获其他敏感系统信息。
在攻击中积极利用
虽然公开可用的 PoC 漏洞足以立即修补所有易受攻击的 FortiOS、FortiProxy 和 FortiSwitchManager 设备,但该漏洞也在持续的攻击中被滥用。
尽管在周五 BleepingComputer 联系时被问及该漏洞是否在野外被积极利用时,Fortinet 发言人拒绝发表评论,但该公司周一证实,它知道至少有一次漏洞被滥用的攻击。
“Fortinet 知道此漏洞被利用的一个实例,并建议根据设备日志中的以下危害指标立即验证您的系统:user=“Local_Process_Access”,Fortinet 说。
CISA 周二将 CVE-2022-40684 添加到其已知在野外被利用的安全漏洞列表中,要求所有联邦民事行政部门机构在 11 月 1 日之前修补其 Fortinet 设备以阻止正在进行的攻击。
网络安全公司 GreyNoise 周四也表示,它已经看到攻击者试图在野外利用 CVE-2022-40684。
“如果这些设备无法及时更新,则应立即禁用面向互联网的 HTTPS 管理,直到可以执行升级,”Fortinet 上周在私人通知中警告客户。
无法立即应用补丁或禁用易受攻击的设备以确保其服务器不被入侵的管理员也可以使用 Fortinet 在 此安全公告中共享的缓解措施。
解决方法需要禁用 HTTP/HTTPS 管理界面或使用本地策略限制可以访问管理界面的 IP 地址。
那些想要在应用缓解或补丁之前验证他们的设备是否已经受到攻击的人可以检查设备的日志中的 user=”Local_Process_Access”、user_interface=”Node.js” 或 user_interface=”Report Runner”。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 漏洞可用于关键的Fortinet身份验证绕过错误,现在修补
