Fortinet hôm thứ Hai đã tiết lộ rằng lỗ hổng bảo mật quan trọng mới được vá ảnh hưởng đến các sản phẩm tường lửa và proxy của họ đang bị khai thác tích cực trên thực tế.
Được đánh dấu là CVE-2022-40684 (điểm CVSS: 9,6), lỗ hổng này liên quan đến việc bỏ qua xác thực trong FortiOS, FortiProxy và FortiSwitchManager có thể cho phép kẻ tấn công từ xa thực hiện các hoạt động trái phép trên giao diện quản trị thông qua các yêu cầu HTTP(S) được tạo thủ công đặc biệt .
“Fortinet đã biết về một trường hợp lỗ hổng này bị khai thác và đề xuất ngay lập tức xác thực hệ thống của bạn dựa trên dấu hiệu thỏa hiệp sau đây trong nhật ký của thiết bị: user=”Local_Process_Access,” công ty lưu ý trong một lời khuyên.
Dưới đây là danh sách các thiết bị bị ảnh hưởng –
- FortiOS phiên bản 7.2.0 đến 7.2.1
- FortiOS phiên bản 7.0.0 đến 7.0.6
- Phiên bản FortiProxy 7.2.0
- FortiProxy phiên bản 7.0.0 đến 7.0.6
- FortiSwitchManager phiên bản 7.2.0 và
- FortiSwitchManager phiên bản 7.0.0
Các bản cập nhật đã được công ty bảo mật phát hành trong các phiên bản FortiOS 7.0.7 và 7.2.2, FortiProxy phiên bản 7.0.7 và 7.2.1 và FortiSwitchManager phiên bản 7.2.1.
Tiết lộ được đưa ra vài ngày sau khi Fortinet gửi “thông tin liên lạc bí mật trước cho khách hàng” tới khách hàng của mình, thúc giục họ áp dụng các bản vá để giảm thiểu các cuộc tấn công tiềm ẩn khai thác lỗ hổng.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Nếu cập nhật lên phiên bản mới nhất không phải là một tùy chọn, người dùng nên tắt giao diện quản trị HTTP/HTTPS hoặc giới hạn các địa chỉ IP có thể truy cập vào giao diện quản trị.
Cập nhật: Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hôm thứ Ba đã bổ sung lỗ hổng Fortinet vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng các bản vá trước ngày 1 tháng 11 năm 2022.
Thông tin chi tiết và mã bằng chứng khái niệm (PoC) cho lỗ hổng bảo mật dự kiến sẽ được công khai trong những ngày tới, trong một động thái có thể cho phép các tác nhân đe dọa khác áp dụng khai thác vào bộ công cụ của họ và thực hiện các cuộc tấn công của riêng họ.
Zach Hanley, kỹ sư trưởng về tấn công tại Horizon3.ai, cho biết: “Các lỗ hổng ảnh hưởng đến các thiết bị ở rìa mạng công ty là một trong những lỗ hổng được các tác nhân đe dọa tìm kiếm nhiều nhất vì nó dẫn đến việc vi phạm vành đai và CVE-2022-40684 cho phép chính xác điều này”. .
“Các lỗ hổng Fortinet trước đây, như CVE-2018-13379, vẫn là một trong những lỗ hổng bị khai thác hàng đầu trong những năm qua và lỗ hổng này có thể sẽ không khác.”
