یک PoC برای نقص امنیتی حیاتی که اخیراً فاش شده و بر Fortinet FortiOS، FortiProxy و FortiSwitchManager تأثیر میگذارد در دسترس قرار گرفته است، ضروری است که کاربران به سرعت نسبت به اعمال وصلهها اقدام کنند.
جیمز هورسمن، محقق Horizon3.ai گفت: FortiOS یک پورتال مدیریتی را در معرض دید کاربر قرار میدهد که به کاربر اجازه میدهد سیستم را پیکربندی کند. علاوه بر این، یک کاربر میتواند به سیستم با SSH متصل شود.
این مشکل که با عنوان CVE-2022-40684 ردیابی میشود (امتیاز CVSS: 9.6)، مربوط به یک آسیبپذیری بایپس احراز هویت است که میتواند به یک مهاجم بصورت ریموت اجازه دهد تا عملیات مخربی را از طریق درخواستهای HTTP(S) روی رابط مدیریتی انجام دهد.
بهرهبرداری موفقیتآمیز از این نقص به منزله اعطای دسترسی کامل «برای انجام هر کاری» در سیستم آسیبپذیر است، از جمله تغییر تنظیمات شبکه، افزودن کاربران، و رهگیری ترافیک شبکه.
این شرکت امنیتی گفت که هنگام ارائه چنین درخواستی دو پیشنیاز ضروری وجود دارد:
شرکت GreyNoise تا تاریخ 13 اکتبر 2022، 12 آدرس IP منحصربهفرد را شناسایی کرده است که از CVE-2022-40684 استفاده میکنند. اکثر آنها در آلمان و پس از آن در ایالاتمتحده، برزیل، چین و فرانسه قرار دارند.
جیمز هورسمن، محقق Horizon3.ai گفت: FortiOS یک پورتال مدیریتی را در معرض دید کاربر قرار میدهد که به کاربر اجازه میدهد سیستم را پیکربندی کند. علاوه بر این، یک کاربر میتواند به سیستم با SSH متصل شود.
این مشکل که با عنوان CVE-2022-40684 ردیابی میشود (امتیاز CVSS: 9.6)، مربوط به یک آسیبپذیری بایپس احراز هویت است که میتواند به یک مهاجم بصورت ریموت اجازه دهد تا عملیات مخربی را از طریق درخواستهای HTTP(S) روی رابط مدیریتی انجام دهد.
بهرهبرداری موفقیتآمیز از این نقص به منزله اعطای دسترسی کامل «برای انجام هر کاری» در سیستم آسیبپذیر است، از جمله تغییر تنظیمات شبکه، افزودن کاربران، و رهگیری ترافیک شبکه.
این شرکت امنیتی گفت که هنگام ارائه چنین درخواستی دو پیشنیاز ضروری وجود دارد:
- با استفاده از Forwarded header، مهاجم میتواند client_ip را روی "127.0.0.1" تنظیم کند.
- بررسی "trusted access" تأیید میکند که client_ip "127.0.0.1" است و User-Agent "Report Runner" است که هر دو تحت کنترل مهاجم هستند.
شرکت GreyNoise تا تاریخ 13 اکتبر 2022، 12 آدرس IP منحصربهفرد را شناسایی کرده است که از CVE-2022-40684 استفاده میکنند. اکثر آنها در آلمان و پس از آن در ایالاتمتحده، برزیل، چین و فرانسه قرار دارند.