Một lỗ hổng trong nhiều sản phẩm của Fortinet cho phép kẻ tấn công từ xa không cần xác thực quyền truy cập root vào giao diện quản trị của sản phẩm cốt lõi – và lỗ hổng này đã bị khai thác trong thực tế .
Lỗ hổng Fortinet – được phân bổ CVE-2022-40684 – đã được báo cáo cho khách hàng vào ngày 7 tháng 10.
Bản vá nhanh chóng được các nhà nghiên cứu bảo mật tại Horizon3 thiết kế ngược. Họ cho biết sẽ xuất bản một bằng chứng về khái niệm trong tuần này sau khi đã giành được quyền truy cập thành công vào “tất cả các điểm cuối API quản lý”.
CẬP NHẬT ngày 12 tháng 10: Các POC CVE-2022-40684 đang lưu hành, lỗ hổng dễ khai thác và có khoảng 50.000 người ngoài có điểm cuối bị tiết lộ, theo các nhà nghiên cứu bảo mật. CEH v12 – Thu thập thông tin với Shodan
FortiOS “nền tảng của Fortinet Security Fabric , hợp nhất nhiều công nghệ và trường hợp sử dụng thành một khung quản lý và chính sách đơn giản, ” nằm trong bộ ba giải pháp dễ bị tấn công.
Fortinet đã công khai thông tin chi tiết vào ngày hôm nay (10 tháng 10) trong một tư vấn bảo mật .
Theo Fortinet, công ty an ninh mạng có cơ sở khách hàng doanh nghiệp lớn bao gồm Siemens, Ngân hàng BK của Brazil và một trong những nhà cung cấp rau quả tươi lớn nhất thế giới, Dole PLC được niêm yết trên NYSE.
Lỗ hổng Fortinet CVE-2022-40684 – Những hệ thống nào bị ảnh hưởng ?
Công ty cảnh báo rằng các sản phẩm FortiProxy và FortiSwitchManager cũng bị ảnh hưởng.
Đây là những phiên bản dễ bị tổn thương. Nâng cấp có sẵn ngay bây giờ.
- FortiOS phiên bản 7.2.0 đến 7.2.1
- FortiOS phiên bản 7.0.0 đến 7.0.6
- Phiên bản FortiProxy 7.2.0
- FortiProxy phiên bản 7.0.0 đến 7.0.6
- FortiSwitchManager phiên bản 7.2.0
- FortiSwitchManager phiên bản 7.0.0
Với khả năng khai thác trong tự nhiên, Fortinet khuyên khách hàng nên bắt đầu “ngay lập tức xác thực hệ thống của bạn dựa trên dấu hiệu thỏa hiệp sau đây trong nhật ký của thiết bị: user=”Local_Process_Access”.
Hôm nay, Fortinet cho biết những khách hàng không thể cập nhật kịp thời nên tắt giao diện quản trị HTTP/HTTPS hoặc chặn các địa chỉ IP có thể truy cập giao diện quản trị thành những địa chỉ đáng tin cậy.
Caitlin Condon, Giám đốc, Kỹ thuật quản lý rủi ro dễ bị tổn thương tại Rapid7 , đã thêm vào trong một nhận xét gửi qua email: “[Đây] là một tình huống xấu nhất đối với các nhóm bảo mật dựa vào các thiết bị bị ảnh hưởng (tường lửa, proxy web, nền tảng quản lý chuyển mạch) để ngăn chặn những kẻ tấn công. Mặc dù thông tin chi tiết vẫn còn hơi mơ hồ về thời điểm hoặc số lượng kẻ tấn công đã khai thác lỗ hổng này trước khi công bố, nhưng Fortinet hiện đã chỉ ra rõ ràng rằng lỗ hổng này đã được sử dụng ngoài thực tế—ngụ ý rằng lỗ hổng này đã được sử dụng trong một cuộc tấn công zero-day. Các thiết bị Fortinet thường nằm ở rìa mạng của các tổ chức, điều này khiến chúng trở thành mục tiêu có giá trị cao. Lỗ hổng này có khả năng bị khai thác nhanh chóng và trên quy mô lớn, đặc biệt đối với các tổ chức đưa giao diện quản lý của họ ra internet công cộng.
Họ nói thêm: “Lịch sử chứa đựng một bài học ở đây. CVE-2018-13379, một lỗ hổng tiết lộ thông tin trong cổng web SSL VPN của Fortinet từ vài năm trước, là một trong những lỗ hổng bị khai thác nhiều nhất trong bộ nhớ gần đây. Thông tin đăng nhập bị xâm phạm từ các cuộc tấn công đó đã được sử dụng trong nhiều năm để có quyền truy cập vào các thiết bị có mật khẩu không thay đổi. Tương tự, những kẻ tấn công có quyền truy cập vào các thiết bị có CVE-2022-40684 có thể tồn tại trong môi trường nạn nhân bằng cách tiến hành các hoạt động quản trị mà không bị phát hiện.
“Rõ ràng, đây không phải là mối lo ngại về tính bảo mật của các sản phẩm Fortinet nói chung; đó là một rủi ro rất cụ thể do một lỗi nghiêm trọng gây ra, theo những gì chúng ta có thể thấy, đã được phát hiện, khắc phục và thông báo với mức độ khẩn cấp phù hợp khi việc khai thác được phát hiện trong tự nhiên. Các thiết bị Fortinet cực kỳ phổ biến và như các nhà nghiên cứu đã nhanh chóng chỉ ra trong vài ngày qua, chúng cũng khá dễ nhận dạng trên internet. Một cuộc khảo sát nhanh trên internet do nhóm Phòng thí nghiệm của chúng tôi thực hiện đã xác định được hơn một triệu thiết bị chạy FortiOS. Mặc dù chắc chắn không phải tất cả chúng đều có giao diện quản lý bị lộ , nhưng con số đó là một chỉ số chắc chắn về mức độ phổ biến của thiết bị Fortinet—đối với những kẻ tấn công cũng như người dùng hợp pháp.
TheStack – Bản tin An Toàn Thông Tin Security365
Có thể dò quét và kiểm tra hệ thống của mình với Qualys
Trả lời