Fortinet (飞塔)产品中的关键身份验证绕过漏洞 (CVE-2022-40684)
2022-11-24 21:7:46 Author: Ots安全(查看原文) 阅读量:26 收藏

Fortinet 产品的多个版本,包括 FortiOS、FortiProxy 和 FortiSwitchManager,都受到 CVE-2022-40684 的影响。“在 FortiOS、FortiProxy 和 FortiSwitchManager 中使用备用路径或通道漏洞 [ CWE-288 ] 的身份验证绕过可能允许未经身份验证的攻击者通过特制的 HTTP 或 HTTPS 请求在管理界面上执行操作,”如Fortinet Advisory中所述。

在针对受影响版本的 Fortinet 产品时,攻击者利用函数中的控制机制负责评估受影响设备对 REST API 功能的访问。在利用此漏洞时,攻击者向管理员用户添加了一个 SSH 密钥,允许以管理员身份通过 SSH 访问受影响的系统,如下面的推文所示。

攻击者可以将有效的公共 SSH 密钥更新或添加到系统上的目标帐户,然后通常可以获得对该系统的完全访问权限。此外,威胁参与者可以利用通过利用此漏洞获得的立足点和知识,对 IT 环境的其余部分发起其他攻击。

暗网和网络犯罪活动

在例行监控期间,Cyble 的研究人员观察到威胁行为者 (TA) 在俄罗斯的一个黑客论坛上分发多个未经授权的 Fortinet VPN 访问,如下图所示。

在分析访问时(图 5),发现攻击者试图将他们自己的公钥添加到管理员用户的帐户中。根据从消息来源收集的情报,受害组织使用的是过时的 FortiOS。因此,我们非常有信心地得出结论,这次出售背后的威胁演员利用了 CVE-2022-40684。

上图  – 表明利用 FortiOS 的利用脚本

攻击者发送的通过 GIS 观察到的 PUT 请求如下图所示。

1. 使用 Forwarded 标头,攻击者能够将“client_ip”设置为“127.0.0.1”。 

2. 'trusted access' 身份验证检查验证'client_ip' 是“127.0.0.1”,'User-Agent' 是“Report Runner”,两者都在攻击者的控制之下。

受影响的产品

FortiOS 版本 7.2.0 到 7.2.1

FortiOS 版本 7.0.0 到 7.0.6

FortiProxy 版本 7.2.0

FortiProxy 版本 7.0.0 到 7.0.6

FortiSwitchManager 版本 7.2.0

FortiSwitchManager 版本 7.0.0

事件时间表

10 月 6 日:向所有可能受影响设备的主要帐户所有者发出电子邮件通知。

10 月 10 日:供应商发布漏洞咨询

10 月 10 日:Horizon3 研究人员发布了有关该漏洞的推文

10 月 11 日:CISA 在其“已知利用漏洞目录”中添加了 Fortinet (CVE-2022-40684) 漏洞

10 月 13 日:在公共领域发布技术博客和 POC/开始积极利用

11 月 17 日:FortiOS VPN 访问在网络犯罪论坛上出售



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247496087&idx=1&sn=264f1c9366dbce9b80e4d4edc7e7b292&chksm=9badb8dcacda31ca0f41e218117acb8c959847011e6cd50b8393c293a3ce1f0a666e7de4a4ef#rd
如有侵权请联系:admin#unsafe.sh