Fortinet Vulnerado por fallo de autenticación
Fortinet ha confirmado hoy que una vulnerabilidad crítica de seguridad de omisión de autenticación parcheada la semana pasada está siendo explotada en la naturaleza.
La falla de seguridad (CVE-2022-40684) es una omisión de autenticación en la interfaz administrativa que permite a los actores de amenazas remotas iniciar sesión en los firewalls FortiGate, los proxies web FortiProxy y las instancias de administración local de FortiSwitch Manager (FSWM).
“Una omisión de autenticación utilizando una ruta alternativa o una vulnerabilidad de canal [CWE-288] en FortiOS, FortiProxy y FortiSwitchManager puede permitir que un atacante no autenticado realice operaciones en la interfaz administrativa a través de solicitudes HTTP o HTTPS especialmente diseñadas”, dijo Fortinet en un aviso emitido hoy . .
La compañía lanzó actualizaciones de seguridad para abordar esta falla el jueves. También alertó a algunos de sus clientes por correo electrónico (en lo que llama una “comunicación avanzada”) para desactivar las interfaces de usuario de administración remota en los dispositivos afectados “con la máxima urgencia”.
Un portavoz de Fortinet se negó a comentar cuando se le preguntó si la vulnerabilidad se explota activamente cuando BleepingComputer se comunicó el viernes e insinuó que la compañía compartiría más información en los próximos días.
Hoy, días después de emitir el aviso privado, Fortinet finalmente admitió que sabe de al menos un ataque donde se explotó CVE-2022-40684.
“Fortinet está al tanto de una instancia en la que se explotó esta vulnerabilidad y recomienda validar de inmediato sus sistemas contra el siguiente indicador de compromiso en los registros del dispositivo: usuario = “Local_Process_Access”, dijo la compañía.
La lista completa de productos vulnerables de Fortinet expuestos a ataques que intentan explotar la falla CVE-2022-40 si no se repara incluye:
- FortiOS: 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiProxy: 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiSwitchManager: 7.2.0, 7.0.0
Fortinet lanzó parches de seguridad la semana pasada y pidió a los clientes que actualicen los dispositivos vulnerables a FortiOS 7.0.7 o 7.2.2 y superior, FortiProxy 7.0.7 o 7.2.1 y superior, y FortiSwitchManager 7.2.1 o superior para defender sus dispositivos de los ataques.
Exploit de PoC listo para ser lanzado
Los investigadores de seguridad del Horizon3 Attack Team desarrollaron un código de explotación de prueba de concepto (PoC) y anunciaron su lanzamiento a finales de esta semana.
Según una búsqueda de Shodan , se puede acceder a más de 140 000 firewalls FortiGate desde Internet y es probable que estén expuestos a ataques si sus interfaces de gestión administrativa también están expuestas.
Solución alternativa también disponible
Fortinet también proporcionó información sobre cómo los clientes pueden bloquear los ataques entrantes incluso si no pueden implementar actualizaciones de seguridad de inmediato.
Para evitar que los atacantes remotos eludan la autenticación e inicien sesión en dispositivos vulnerables, los administradores deben deshabilitar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP que pueden llegar a la interfaz administrativa mediante una política de entrada local.
Puede encontrar información detallada sobre cómo deshabilitar la interfaz de administración vulnerable para FortiOS, FortiProxy y FortiSwitchManager o limitar el acceso por dirección IP en este aviso de PSIRT de Fortinet publicado el lunes 10 de octubre.
“Si estos dispositivos no se pueden actualizar de manera oportuna, la administración HTTPS de Internet debe desactivarse inmediatamente hasta que se pueda realizar la actualización”, dijo Fortinet en notificaciones enviadas a algunos de sus clientes la semana pasada.