CVE-2022-40684漏洞，影响1.7 万台在线暴露的 Fortinet 设备

据报道，很多系统仍容易受到CVE-222-40684零日漏洞的攻击，Fortinet敦促客户尽快修复该漏洞。但是，仍有很多设备没有修复。据报告称，在线曝光的17000多台Fortinet设备容易受到CVE-222-40684漏洞的攻击，其中大多数在德国和美国。

在过去一周，Fortinet曾多次通知，但是仍有大量的设备需要修复。并且，在外部方发布POC代码后，该漏洞得到了积极利用。为此，Fortinet再次建议客户和合作伙伴立即采取公开咨询中所述的紧急行动。

几周前，安全供应商解决了影响FortiGate防火墙和FortiProxy web代理的关键身份验证绕过漏洞。利用此漏洞，攻击者可以登录容易受攻击的设备。

PSIRT公司发布的通报中写道：在FortiOS和FortiProxy中使用备用路径或通道[CWE-88]的身份验证绕过漏洞，可能允许未经身份验证的攻击者通过特制的HTTP或HTTPS请求在管理接口上执行操作。

漏洞影响的版本:

1、从7.0.0到7.0.6以及从7.2.0到7.2.1的FortiOS版本；

2、从7.0.0至7.0.6和7.2.0的FortiProxy版本。

通过发布FortiOS/FortiProxy版本7.0.7或7.2.2，这家网络安全公司解决了该漏洞。该公司还为那些无法立即部署安全更新的人提供了解决方法，建议无法升级系统的客户应禁用HTTP/HTTPS管理接口或限制可以访问该接口的IP地址。

Fortinet知道有一个实例利用了此漏洞，建议立即根据设备日志中的以下危害指标验证您的系统：user=”Local_Process_Access”

CVE-2022-40684漏洞的概念验证 （PoC） 攻击代码已在线发布。PoC攻击代码的公开可用性可能会助长针对Fortinet设备的攻击浪潮。

同时，安全公司警告说，在野外黑客已经积极利用这个漏洞。威胁情报公司GreyNoise报告说，有人试图利用这个漏洞进行攻击。这些攻击源于数百个独特的IP地址，其中大多数位于美国、中国和德国。

发布PoC攻击代码的Horizin3专家指出，还有其他方法可以触发此漏洞，并且可能存在其他条件。这意味着黑客可以开发自己的漏洞，并将其用于野外攻击。所以，要立即解决这个漏洞。

据了解，Shadowserver Foundation报告称，在线曝光的17000多台Fortinet设备容易受到CVE-222-40684漏洞的攻击，其中大多数在德国和美国。

该漏洞会使攻击者登录易受攻击的设备，因此建议用户级及时升级系统，无法升级系统的客户应禁用HTTP/HTTPS管理接口或限制可以访问该接口的IP地址。同时，用户可以在组织提供的Dashboard上跟踪CVE-2022-40684的攻击活动。