CVE-2022-40684: Critical Authentication Bypass in FortiOS and FortiProxy
09 oktober 2022
Update 09-10-2022
Fortinet heeft in zijn FortiOS- en FortiProxy-producten een kritieke authenticatie-bypass gepatcht die kan leiden tot Administrator toegang.
bronnen: Access42, Tenable en Fortinet
Achtergrond
Op 7 oktober begonnen openbare berichten te circuleren dat Fortinet rechtstreeks met klanten communiceerde over een kritieke kwetsbaarheid in haar FortiOS en FortiProxy producten. Deze kwetsbaarheid, CVE-2022-40684, is inmiddels gepatcht, maar Fortinet heeft nog geen volledige advisory uitgebracht via zijn Product Security Incident Response Team.
Fortinet volgt gewoonlijk een maandelijks releaseschema voor beveiligingsadviezen op de tweede dinsdag van elke maand, dezelfde dag als Microsoft’s Patch Tuesday. Het valt nog te bezien of het hetzelfde schema zal volgen voor de CVE-2022-40684 advisory. De volgende tweet bevat een afbeelding uit de e-mailcommunicatie die naar Fortinet-klanten is gestuurd.
Analyse
CVE-2022-40684 is een kwetsbaarheid voor het omzeilen van de authenticatie die een CVSSv3-score van 9,6 heeft gekregen. Door speciaal ontworpen HTTP- of HTTPS-verzoeken naar een kwetsbaar doel te sturen, kan een aanvaller op afstand met toegang tot de beheer interface beheerdertaken uitvoeren.
Op dit moment is er geen informatie over of deze kwetsbaarheid is uitgebuit in aanvallen. Maar gezien de voorliefde van aanvallers voor FortiOS-kwetsbaarheden is de aanbeveling van Fortinet om deze kwetsbaarheid “met de grootst mogelijke urgentie” te verhelpen op zijn plaats.
Oplossing
De communicatie die Fortinet naar klanten heeft gestuurd en die nu publiekelijk is gedeeld op Twitter, schetst de volgende kwetsbare en gerepareerde versienummers:
Product | Vulnerable Versions | Fixed Version |
---|---|---|
FortiOS | 7.0.0 to 7.0.67.2.0 to 7.2.1 | 7.0.77.2.2 |
FortiProxy | 7.0.0 to 7.0.67.2.0 | 7.0.77.2.1 |
Als u de patches niet onmiddellijk kunt toepassen, stelt Fortinet dat het gebruik van een local-in-policy de toegang tot de beheerinterface moet beperken. Fortinet heeft in hun FortiGate Hardening Guide ook stappen voor het uitschakelen van administratieve toegang tot de internet interface en stappen voor het beperken van de toegang tot vertrouwde hosts. Zoals de whitepaper opmerkt, maken deze stappen deel uit van hun best practices voor systeembeheerders.
Identificeren van kwetsbare systemen
Een lijst van Tenable-plugins die deze kwetsbaarheid identificeren, verschijnt hier zodra ze zijn vrijgegeven. Deze link maakt gebruik van een zoekfilter om ervoor te zorgen dat alle overeenkomende plugins verschijnen zodra ze zijn vrijgegeven. Klanten kunnen ook Plugin ID 73522 gebruiken om de versie van Fortinet Devices in uw netwerk te identificeren. De plugin vereist dat u SSH-referenties opgeeft voor het Fortinet-apparaat.