資安廠商 Cyble 日前發表研究報告,指出該公司的網路掃瞄機制,發現分布全球超過 10 萬台 Fortinet 出品之 FortiGate 防火牆,曝露在一個嚴重身分認證略過漏洞 CVE-2022-40684 的風險之下;目前已傳出有駭侵者利用此一漏洞發動攻擊。
CVE-2022-40684 是一個存於多款 Fortinet 網通產品(如 FortiOS、FortiProxy、FortiSwitchManager)之內的嚴重漏洞,駭侵者可以特製的 HTTP 或 HTTPS 連線要求,來觸發此一錯誤,跳過系統身分認證程序,在管理介面進行各種操作。
Cyble 在報告中進一步指出,駭侵者可以利用這個漏洞,在管理員用戶帳號上新增一個 SSH 金鑰,駭侵者即可以管理者的身分和權限,以 SSH 連入受害系統內,並且攻擊內部網路其他裝置和 IT 環境。
報告中指出,駭侵者可以進行的操作,包括修改管理員的 SSH 金鑰以登入受攻擊系統、新增本機用戶、變更網路設定、更改封包路由、下載系統設定檔、竊取封包以攔截機敏資訊、並將各種設定資訊情報輪出到暗網上販售。
受此漏洞影響的 FortiOS 與 FortiProxy 版本號碼均為 7.0.0 到 7.2.1 的中間各版,FortiSwitchManager 則為 7.2.0 與 7.0.0。
這個漏洞的 CVSS 危險程度評分高達 9.6 分(滿分為 10 分), 危險程度分級為最高等級的「嚴重」;Fortinet 原廠已在十月上旬針對 CVE-2022-40684 推出官方版本的更新與暫時處理方案。
建議措施:使用 Fortinet 上述產品的單位,除應立即升級至最新版本,以套用漏洞修補方案外,也應針對內部網路進行網段分割,以防止已入侵的駭侵者進一步攻擊內網其他裝置。
- CVE編號:CVE-2022-40684
- 影響產品:FortiOS/FortiPproxy:7.2.1、7.2.0、7.0.6、7.0.5、7.0.4、7.0.3、7.0.2、7.0.1、7.0.0;FortiSwitchManager:7.2.0、7.0.0。
- 解決方案:依照 Fortinet 提供的指引,變更部分設定並升級置最新版本。
- 參考連結
Multiple Organisations Compromised By Critical Authentication Bypass Vulnerability In Fortinet Products (CVE-2022-40684)
FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface
留言列表
資安宣導 (2)
