Fortinet 产品的多个版本，包括 FortiOS、FortiProxy 和 FortiSwitchManager，都受到 CVE-2022-40684 的影响。“在 FortiOS、FortiProxy 和 FortiSwitchManager 中使用备用路径或通道漏洞 [ CWE-288 ] 的身份验证绕过可能允许未经身份验证的攻击者通过特制的 HTTP 或 HTTPS 请求在管理界面上执行操作，”如Fortinet Advisory中所述。

在针对受影响版本的 Fortinet 产品时，攻击者利用函数中的控制机制负责评估受影响设备对 REST API 功能的访问。在利用此漏洞时，攻击者向管理员用户添加了一个 SSH 密钥，允许以管理员身份通过 SSH 访问受影响的系统，如下面的推文所示。

攻击者可以将有效的公共 SSH 密钥更新或添加到系统上的目标帐户，然后通常可以获得对该系统的完全访问权限。此外，威胁参与者可以利用通过利用此漏洞获得的立足点和知识，对 IT 环境的其余部分发起其他攻击。

暗网和网络犯罪活动

在例行监控期间，Cyble 的研究人员观察到威胁行为者 (TA) 在俄罗斯的一个黑客论坛上分发多个未经授权的 Fortinet VPN 访问，如下图所示。

在分析访问时（图 5），发现攻击者试图将他们自己的公钥添加到管理员用户的帐户中。根据从消息来源收集的情报，受害组织使用的是过时的 FortiOS。因此，我们非常有信心地得出结论，这次出售背后的威胁演员利用了 CVE-2022-40684。

上图  – 表明利用 FortiOS 的利用脚本

攻击者发送的通过 GIS 观察到的 PUT 请求如下图所示。

1. 使用 Forwarded 标头，攻击者能够将“client_ip”设置为“127.0.0.1”。 

2. 'trusted access' 身份验证检查验证'client_ip' 是“127.0.0.1”，'User-Agent' 是“Report Runner”，两者都在攻击者的控制之下。

受影响的产品

FortiOS 版本 7.2.0 到 7.2.1

FortiOS 版本 7.0.0 到 7.0.6

FortiProxy 版本 7.2.0

FortiProxy 版本 7.0.0 到 7.0.6

FortiSwitchManager 版本 7.2.0

FortiSwitchManager 版本 7.0.0

事件时间表

10 月 6 日：向所有可能受影响设备的主要帐户所有者发出电子邮件通知。

10 月 10 日：供应商发布漏洞咨询

10 月 10 日：Horizon3 研究人员发布了有关该漏洞的推文

10 月 11 日：CISA 在其“已知利用漏洞目录”中添加了 Fortinet (CVE-2022-40684) 漏洞

10 月 13 日：在公共领域发布技术博客和 POC/开始积极利用

11 月 17 日：FortiOS VPN 访问在网络犯罪论坛上出售