Fortinet, müşterileri aletlerini kritik bir kimlik doğrulama bypass fortios, fortiproxy ve FortiswitchManager güvenlik açığı ile saldırılarda sömürülen bir şekilde yamaya çağırıyor.
Şirket, geçen hafta Kusura (CVE-2022-40684) ele almak için güvenlik güncellemeleri yayınladı ve aynı zamanda özel uyarılardaki müşterilere etkilenen cihazlarda uzaktan yönetim kullanıcı arayüzlerini devre dışı bırakmalarını önerdi "hemen hemen aciliyetle" hemen saldırıları engelleyemezlerse, saldırıları engelleyemezlerse yama.
Bir hafta sonra, Horizon3.Ai güvenlik araştırmacıları, bir kavram kanıtı (POC) istismarını ve güvenlik açığı için teknik bir kök neden analizi paylaştı.
Cuma günü, istismar kodu yayınlandıktan sonra Fortinet, müşterilerden bu aktif olarak sömürülen güvenlik kusurunu acilen yama yapmalarını isteyen bir kamuoyu uyarısı verdi.
Şirket, "Geçen hafta Fortinet'ten çok sayıda bildirimden sonra, hala hafifletme gerektiren önemli sayıda cihaz var ve POC kodunun dış tarafının yayınlanmasının ardından bu güvenlik açığının aktif olarak sömürülmesi var."
"Bu gelişmeye dayanarak Fortinet, müşterilerin ve ortakların kamu danışmanlığında açıklandığı gibi acil ve acil eylemde bulunmalarını önerir."
Saldırganlar, ilk gizli bildirim 6 Ekim'de müşterilere gönderilir gönderilir gönderilmez Fortinet cihazları taramaya başladı ve Fortinet, tehdit aktörlerinin kötü amaçlı yönetici hesapları oluşturmak için güvenlik açığından yararlandığını tespit ettiğini söyledi.
Siber güvenlik şirketleri Greynoise ve Bad Packs, Fortinet'in bulgularını paylaştıktan sonra, aynı zamanda Wild'da CVE-2022-40684 taramasını ve sömürmeye çalıştıklarını da tespit ettiklerini doğruladı.
CISA ayrıca Salı günü CVE-2022-40684'ü, saldırılarda sömürülen güvenlik hataları listesine ekledi ve tüm federal sivil yürütme şubeleri ajanslarının 1 Kasım'a kadar ağlarındaki Fortinet cihazlarını patlatmasını gerektirdi.
Meydan Her güvenlik danışmanında Fortinet tarafından paylaşılan hafifletme önlemlerini de kullanabilir.
Bu geçici çözümler, HTTP/HTTPS yönetim arayüzünün devre dışı bırakılmasını veya yerel bir politika kullanarak yönetici arayüzüne ulaşmak için kullanılabilecek IP adreslerinin sınırlandırılmasını gerektirir.
Cihazlarınızın hafifletme veya yamalar uygulamadan önce tehlikeye atıldığını doğrulamak istiyorsanız, cihazların günlüklerini kullanıcı = "local_process_access", user_interface = "node.js" veya user_interface = "report runner" için kontrol edebilirsiniz.
Kritik Fortinet Auth Bypass hatası için kullanılabilir istismar, şimdi yama
Yeni Microsoft Exchange Zero-Days aktif olarak saldırılarda sömürüldü
Fortinet, kritik kimyasal bypass hatasının saldırılarda kullanıldığını söylüyor
Fortinet, yöneticileri eleştirel auth bypass hatasını hemen yama konusunda uyarıyor
Sophos, saldırılarda sömürülen yeni güvenlik duvarı RCE hatası konusunda uyarıyor
Kaynak: Bleeping Computer