Fortinet alerta sobre exploração ativa de bug crítico de bypass de autenticação recém-descoberto.

Compartilhe

A Fortinet revelou na segunda-feira que a vulnerabilidade de segurança crítica recém-corrigida que afeta seus produtos de firewall e proxy está sendo explorada ativamente na natureza.

Rastreada como CVE-2022-40684 (pontuação CVSS: 9,6), a falha está relacionada a um desvio de autenticação no FortiOS, FortiProxy e FortiSwitchManager que pode permitir que um invasor remoto execute operações não autorizadas na interface administrativa por meio de solicitações HTTP(S) especialmente criadas .

“A Fortinet está ciente de uma instância em que essa vulnerabilidade foi explorada e recomenda a validação imediata de seus sistemas contra o seguinte indicador de comprometimento nos logs do dispositivo: user=’Local_Process_Access'”, observou a empresa em um comunicado.

A lista de dispositivos afetados está abaixo –

  • FortiOS versão 7.2.0 a 7.2.1
  • FortiOS versão 7.0.0 a 7.0.6
  • FortiProxy versão 7.2.0
  • FortiProxy versão 7.0.0 a 7.0.6
  • FortiSwitchManager versão 7.2.0 e
  • FortiSwitchManager versão 7.0.0

As atualizações foram lançadas pela empresa de segurança nas versões FortiOS 7.0.7 e 7.2.2, FortiProxy versões 7.0.7 e 7.2.1 e FortiSwitchManager versão 7.2.1.

A divulgação ocorre dias depois que a Fortinet enviou “comunicações avançadas confidenciais do cliente” a seus clientes, instando-os a aplicar patches para mitigar possíveis ataques que exploram a falha.

Se a atualização para a versão mais recente não for uma opção, é recomendável que os usuários desativem a interface administrativa HTTP/HTTPS ou, alternativamente, limitem os endereços IP que podem acessar a interface administrativa.

Atualização: A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou na terça-feira a falha Fortinet ao seu catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ), exigindo que as agências federais apliquem patches até 1º de novembro de 2022.

Espera-se que detalhes e código de prova de conceito (PoC) para a vulnerabilidade sejam disponibilizados publicamente nos próximos dias, em um movimento que pode permitir que outros agentes de ameaças adotem a exploração em seu conjunto de ferramentas e montem seus próprios ataques.

“Vulnerabilidades que afetam dispositivos na borda das redes corporativas estão entre as mais procuradas pelos invasores porque levam à violação do perímetro, e o CVE-2022-40684 permite exatamente isso”, disse Zach Hanley, engenheiro-chefe de ataque da Horizon3.ai. .

“Vulnerabilidades anteriores do Fortinet, como CVE-2018-13379 , permaneceram entre as principais vulnerabilidades exploradas ao longo dos anos e esta provavelmente não será diferente”.