Fortinet bugün, geçen hafta yamalı bir kritik kimlik doğrulama bypass güvenlik açığının vahşi doğada kullanıldığını doğruladı.
Güvenlik Kususu (CVE-2022-40684), idari arayüzde, uzaktan tehdit aktörlerinin Fortigat Güvenlik Duvarları, Fortiproxy Web Proxy'leri ve Fortiswitch Manager (FSWM) şirket içi yönetim örneklerine giriş yapmalarını sağlayan bir Auth Bypass'tır.
Fortinet, "Fortios, Fortiproxy ve FortiswitchManager'da alternatif bir yol veya kanal güvenlik açığı [CWE-288] kullanarak bir kimlik doğrulama baypası [CWE-288], kimlik doğrulanmamış bir atttacker'ın özel olarak hazırlanmış HTTP veya HTTP talepleri aracılığıyla idari arayüz üzerinde operasyonlar gerçekleştirmesine izin verebilir." .
Şirket, Perşembe günü bu kusuru ele almak için güvenlik güncellemeleri yayınladı. Ayrıca, etkilenen cihazlardaki uzaktan yönetim kullanıcı arayüzlerini "en büyük aciliyetle" devre dışı bırakmak için bazı müşterilerini e -posta yoluyla ("Gelişmiş İletişim" olarak adlandırdığı) uyardı.
Bir Fortinet sözcüsü, BleepingComputer Cuma günü ulaştığında ve şirketin önümüzdeki günlerde daha fazla bilgi paylaşacağını ima ettiğinde, kırılganlığın vahşi doğada aktif olarak kullanılıp kullanılmadığını sorduğunda yorum yapmayı reddetti.
Bugün, özel danışmanlığı düzenledikten günler sonra Fortinet, CVE-2022-40684'ün sömürüldüğü en az bir saldırıyı bildiğini itiraf etti.
Şirket, "Fortinet, bu güvenlik açığının kullanıldığı bir örneğin farkındadır ve sistemlerinizi cihazın günlüklerinde aşağıdaki uzlaşma göstergesine karşı derhal doğrulamanızı önerir: user =" local_process_access "dedi.
CVE-2022-40 Kusurunu kullanmaya çalışan saldırılara maruz kalan Fortinet savunmasız ürünlerin tam listesi:
Fortinet geçen hafta güvenlik yamaları yayınladı ve müşterilerden Fortios 7.0.7 veya 7.2.2 ve üstü, Fortiproxy 7.0.7 veya 7.2.1 ve üstü ve FortiswitchManager 7.2.1 veya üstü olarak cihazlarını saldırılardan korumak için güncellemelerini istedi.
Horizon3 saldırı ekibine sahip güvenlik araştırmacıları, kavram kanıtı (POC) istismar kodu geliştirdiler ve bu hafta piyasaya sürüldüğünü duyurdu.
Başka bir cihaz vuln ... Çoklu #Fortinet çözümlerini etkileyen CVE-2022-40684, uzak saldırganların tüm yönetim API uç noktalarıyla etkileşime girmesine izin veren bir Auth baypasıdır. Blog yazısı ve POC bu hafta daha sonra geliyor. Şimdi yama. pic.twitter.com/ys7sviljaw
Bir Shodan aramasına göre, internetten 140.000'den fazla Fortigate güvenlik duvarına ulaşılabilir ve yönetici yönetimi arayüzleri de ortaya çıkarsa saldırılara maruz kalır.
Fortinet ayrıca, güvenlik güncellemelerini hemen dağıtamasalar bile müşterilerin gelen saldırıları nasıl engelleyebilecekleri hakkında bilgi verdi.
Uzak saldırganların kimlik doğrulamasını atlamasını ve savunmasız cihazlara giriş yapmasını engellemek için yöneticiler, HTTP/HTTPS yönetim arayüzünü devre dışı bırakmalı veya bir yerel politika kullanarak yönetim arabirimine ulaşabilecek IP adreslerini sınırlamalıdır.
Fortios, Fortiproxy ve FortiswitchManager için savunmasız yönetici arayüzünün nasıl devre dışı bırakılacağı hakkında ayrıntılı bilgi veya IP adresi başına sınır erişimi 10 Ekim Pazartesi günü yayınlanan bu Fortinet PSIRT Danışmanında bulunabilir.
Fortinet, geçen hafta bazı müşterilerine gönderilen bildirimlerde, "Bu cihazlar zamanında güncellenemezse, yükseltme gerçekleştirilinceye kadar HTTPS yönetimi ile karşılaşan internet yönetimi hemen devre dışı bırakılmalıdır." Dedi.
Fortinet, yöneticileri eleştirel auth bypass hatasını hemen yama konusunda uyarıyor
Trend Micro, aktif olarak sömürülen apeks bir RCE güvenlik açığı konusunda uyarıyor
Cisco, EOL yönlendiricilerindeki sıfır gününü atlatmaya yönelik kimlik doğrulamasını düzeltmeyecek
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
BlackByte Fidye Yazılımı, güvenlik ürünlerini devre dışı bırakmak için yasal sürücüyü kötüye kullanır
Kaynak: Bleeping Computer