Fortinet Auth Bypass Hatası Vahşi Doğada Saldırılar İçin Kullanıldı

Son zamanlarda FortiGate güvenlik duvarlarında ve FortiProxy Web Proxy’de kritik bir güvenlik açığı tespit edildi. FortiGate, müşterilerini konu hakkında zaten uyardı.

Saldırgan bu kritik güvenlik açığından başarıyla yararlanabilirse, kullanıcının izni olmadan cihazı ele geçirebilir ve yetkisiz ve yasa dışı eylemler gerçekleştirebilir.

Kritik güvenlik açığı, CVSS puanı 9,6 olan CVE-2022-40684 olarak izlendi ve bu, yönetim arayüzünde bir auth bypass hatası.

Saldırgan, özel hazırlanmış bir HTTP(S) isteği oluşturarak ve bu isteği, isteğe bağlı eylemler gerçekleştirmek için yönetim arabiriminde yürüterek bu güvenlik açığından yararlanabilir.

Etkilenen ürünler ve sürümler

Bu kritik güvenlik açığı aşağıdaki ürünleri ve sürümlerini etkilemiştir:-

• FortiOS sürüm 7.2.0 ila 7.2.1
• FortiOS sürüm 7.0.0 ila 7.0.6
• FortiProxy sürüm 7.2.0
• FortiProxy sürüm 7.0.0 ila 7.0.6
• FortiSwitchManager sürüm 7.2.0
• FortiSwitchManager sürüm 7.0.0

Fortinet yetkilileri bu konuda yorum yapmayı reddettiği için güvenlik açığından yararlanılıp yararlanılmadığına dair herhangi bir bilgi yok.

Ancak Fortinet, CVE-2022-40684’ün özel uyarıyı yayınlamasından bu yana en az bir saldırıda istismar edildiğini kabul etti.

Yama

Fortinet, etkilenen sürümlere sahip kullanıcılara, düzeltilen sürümlere hemen yükseltme yapmaları için bir uyarı gönderdi.

Tüm sabit sürümler, kontrol edebilmeniz için aşağıda listelenmiştir: –

• FortiOS sürüm 7.2.2 veya üstüne yükseltin
• FortiOS sürüm 7.0.7 veya üstüne yükseltin
• FortiProxy sürüm 7.2.1 veya üstüne yükseltin
• FortiProxy sürüm 7.0.7 veya üstüne yükseltin
• FortiSwitchManager sürüm 7.2.1 veya üstüne yükseltin

Güncellemeler yüklenene kadar şirket, kullanıcıların sistemin bütünlüğünü sağlamak için geçici bir güvenlik önlemi olarak HTTPS yönetimini devre dışı bırakmalarını önerir.

Ek olarak, Yerel Güvenlik duvarı ilkesi, kullanıcı tarafından alternatif bir seçenek olarak FortiGate yönetici arayüzüne erişimi kısıtlamak için kullanılabilir.

Başka bir cihaz zayıfladı…

CVE-2022-40684, birden çok #Fortinet çözümleri, uzaktaki saldırganların tüm yönetim API’si uç noktalarıyla etkileşime girmesine olanak tanıyan bir kimlik doğrulama atlamasıdır.

Blog gönderisi ve POC bu hafta sonra gelecek. Şimdi yama. pic.twitter.com/YS7svIljAw

— Horizon3 Saldırı Ekibi (@Horizon3Attack) 10 Ekim 2022

Kavram Kanıtı (PoC) istismar kodu yakında piyasaya sürülecek olsa da, muhtemelen bu hafta içinde Horizon3 Saldırı Ekibi güvenlik araştırmacıları ile koordineli olarak.

Sponsorlu: 5 Dakikadan Kısa Sürede Daha Fazla Yoğun DDoS Saldırısını Engelleyin, Her Zaman Çok Katmanlı Korumayı Etkinleştirin