Η Fortinet επιβεβαίωσε ότι μια κρίσιμη ευπάθεια που επιτρέπει την παράκαμψη ελέγχου ταυτότητας και διορθώθηκε την περασμένη εβδομάδα, χρησιμοποιείται ενεργά από εγκληματίες του κυβερνοχώρου για την πραγματοποίηση επιθέσεων.
Η ευπάθεια έχει καταχωρηθεί ως CVE-2022-40684 και επιτρέπει την παράκαμψη ελέγχου ταυτότητας στο administrative interface, επιτρέποντας σε απομακρυσμένους παράγοντες απειλών να συνδεθούν σε FortiGate firewalls, FortiProxy web proxies και FortiSwitch Manager (FSWM) on-premise management instances.
Δείτε επίσης: Intel: Διέρρευσε ο source code για το BIOS των Alder Lake CPUs και είναι αυθεντικός
“Μια παράκαμψη ελέγχου ταυτότητας που χρησιμοποιεί μια εναλλακτική διαδρομή ή channel bug [CWE-288] στο FortiOS, το FortiProxy και το FortiSwitchManager μπορεί να επιτρέψει σε έναν εισβολέα να εκτελεί λειτουργίες στο administrative interface μέσω ειδικά διαμορφωμένων HTTP ή HTTPS requests“, ανέφερε η Fortinet.
Όπως είπαμε και παραπάνω, η Fortinet έχει ήδη κυκλοφορήσει ενημερώσεις ασφαλείας για αυτή την ευπάθεια, από την προηγούμενη Πέμπτη. Επίσης, έχει ειδοποιήσει ορισμένους από τους πελάτες της μέσω email για να απενεργοποιήσουν τα remote management user interfaces στις επηρεαζόμενες συσκευές.
Τώρα, η Fortinet παραδέχτηκε ότι γνωρίζει τουλάχιστον μία επίθεση που χρησιμοποίησε την κρίσιμη ευπάθεια CVE-2022-40684.
“Η Fortinet γνωρίζει μια περίπτωση εκμετάλλευσης αυτής της ευπάθειας και συνιστά την άμεση επικύρωση των συστημάτων σας έναντι της ακόλουθης ένδειξης παραβίασης στα αρχεία καταγραφής της συσκευής: user=”Local_Process_Access“, δήλωσε η εταιρεία.
Δείτε επίσης: Τι λέει η Toyota για τη διαρροή δεδομένων των πελατών της
Ακολουθεί μια λίστα με όλα τα ευάλωτα προϊόντα της Fortinet που εκτίθενται σε επιθέσεις που επιχειρούν να εκμεταλλευτούν την εν λόγω ευπάθεια:
- FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiSwitchManager : 7.2.0, 7.0.0
Η Fortinet κυκλοφόρησε τις ενημερώσεις κώδικα ασφαλείας την περασμένη εβδομάδα και ζήτησε από τους πελάτες να ενημερώσουν άμεσα τις ευάλωτες συσκευές σε FortiOS 7.0.7 ή 7.2.2 και νεότερη έκδοση, FortiProxy 7.0.7 ή 7.2.1 και νεότερη έκδοση και FortiSwitchManager 7.2.1 ή νεότερη έκδοση.
PoC exploit
Ερευνητές ασφαλείας ανέπτυξαν proof-of-concept (PoC) exploit code και ανακοίνωσαν την κυκλοφορία του αργότερα αυτή την εβδομάδα.
Σύμφωνα με μια αναζήτηση, περισσότερα από 140.000 FortiGate firewalls είναι προσβάσιμα από το Διαδίκτυο και άρα είναι ευάλωτα σε επιθέσεις εάν εκτεθούν και τα admin management interfaces τους.
Δείτε επίσης: Θερμική επίθεση: Μαντεύει password με ανίχνευση θερμότητας
Τρόποι προστασίας
Η πιο αποτελεσματική προστασία περιλαμβάνει την εφαρμογή των ενημερώσεων που κυκλοφόρησε η Fortinet την περασμένη εβδομάδα και που διορθώνουν την ευπάθεια. Ωστόσο, αν για κάποιο λόγο δεν είναι εφικτή η άμεση εφαρμογή τους, οι πελάτες μπορούν να πάρουν και κάποια άλλα μέτρα για να μπλοκάρουν τις εισερχόμενες επιθέσεις.
Για να αποτρέψουν την παράκαμψη ελέγχου ταυτότητας και να εμποδίσουν τρίτους να συνδεθούν σε ευάλωτες συσκευές, οι διαχειριστές θα πρέπει να απενεργοποιήσουν το HTTP/HTTPS administrative interface ή να περιορίσουν τις διευθύνσεις IP που μπορούν να φτάσουν στο administrative interface χρησιμοποιώντας ένα Local in Policy.
Λεπτομερείς πληροφορίες σχετικά με το πώς μπορούν να γίνουν τα παραπάνω, μπορείτε να βρείτε στο Fortinet PSIRT advisory που δημοσιεύτηκε στις 10 Οκτωβρίου.
Πηγή: www.bleepingcomputer.com