Fortinet 产品的多个版本,包括 FortiOS、FortiProxy 和 FortiSwitchManager,都受到 CVE-2022-40684 的影响。“在 FortiOS、FortiProxy 和 FortiSwitchManager 中使用备用路径或通道漏洞 [ CWE-288 ] 的身份验证绕过可能允许未经身份验证的攻击者通过特制的 HTTP 或 HTTPS 请求在管理界面上执行操作,”如Fortinet Advisory中所述。
在针对受影响版本的 Fortinet 产品时,攻击者利用函数中的控制机制负责评估受影响设备对 REST API 功能的访问。在利用此漏洞时,攻击者向管理员用户添加了一个 SSH 密钥,允许以管理员身份通过 SSH 访问受影响的系统,如下面的推文所示。
攻击者可以将有效的公共 SSH 密钥更新或添加到系统上的目标帐户,然后通常可以获得对该系统的完全访问权限。此外,威胁参与者可以利用通过利用此漏洞获得的立足点和知识,对 IT 环境的其余部分发起其他攻击。
在例行监控期间,Cyble 的研究人员观察到威胁行为者 (TA) 在俄罗斯的一个黑客论坛上分发多个未经授权的 Fortinet VPN 访问,如下图所示。
在分析访问时(图 5),发现攻击者试图将他们自己的公钥添加到管理员用户的帐户中。根据从消息来源收集的情报,受害组织使用的是过时的 FortiOS。因此,我们非常有信心地得出结论,这次出售背后的威胁演员利用了 CVE-2022-40684。
上图 – 表明利用 FortiOS 的利用脚本
攻击者发送的通过 GIS 观察到的 PUT 请求如下图所示。
1. 使用 Forwarded 标头,攻击者能够将“client_ip”设置为“127.0.0.1”。
2. 'trusted access' 身份验证检查验证'client_ip' 是“127.0.0.1”,'User-Agent' 是“Report Runner”,两者都在攻击者的控制之下。
FortiOS 版本 7.2.0 到 7.2.1
FortiOS 版本 7.0.0 到 7.0.6
FortiProxy 版本 7.2.0
FortiProxy 版本 7.0.0 到 7.0.6
FortiSwitchManager 版本 7.2.0
FortiSwitchManager 版本 7.0.0
10 月 6 日:向所有可能受影响设备的主要帐户所有者发出电子邮件通知。
10 月 10 日:供应商发布漏洞咨询
10 月 10 日:Horizon3 研究人员发布了有关该漏洞的推文
10 月 11 日:CISA 在其“已知利用漏洞目录”中添加了 Fortinet (CVE-2022-40684) 漏洞
10 月 13 日:在公共领域发布技术博客和 POC/开始积极利用
11 月 17 日:FortiOS VPN 访问在网络犯罪论坛上出售