针对主动攻击下的关键Fortinet身份验证绕过漏洞发布的PoC漏洞

针对最近披露的影响Fortinet FortiOS、FortiProxy和FortiSwitchManager的关键安全漏洞，已经提供了概念验证（PoC）漏洞代码，这使得用户必须迅速应用补丁。

Horizon3.ai研究员詹姆斯·霍斯曼表示：“FortiOS公开了一个管理门户网站，允许用户配置系统”。“此外，用户可以通过SSH访问暴露锁定CLI界面的系统”。

该问题被追踪为CVE-22-40684（CVSS评分：9.6），涉及一个身份验证绕过漏洞，该漏洞可能允许远程攻击者通过精心编制的HTTP（S）请求在管理界面上执行恶意操作。

成功利用该漏洞等于授予对受影响系统的完全访问权限“几乎可以做任何事情”，包括更改网络配置、添加恶意用户和拦截网络流量。

尽管如此，这家网络安全公司表示，提出这样的请求有两个基本的先决条件-

• 使用Forwarded标头，攻击者可以将client_ip设置为“127.0.0.1”
• “可信访问”身份验证检查验证client_ip是否为“127.0.0.1”，User Agent是否为“Report Runner”，这两者都在攻击者的控制下

发布PoC时，Fortinet警告称，它已经意识到一个积极利用该漏洞的实例，促使美国网络安全和基础设施安全局(CISA)发布一项建议，敦促联邦机构在2022年11月1日之前修补该问题。

截至2022年10月13日，威胁情报公司GreyNoise已检测到12个独特的IP地址正在对CVE-2022-40684进行武器化，其中大多数位于德国，其次是美国、巴西、中国和法国。

WordPress安全公司WordFence还表示，它识别了来自21个不同IP地址的探测尝试，以“确定Fortinet设备是否就位”，同时还观察与PoC匹配的HTTP请求，以向管理员用户添加SSH密钥。

更新：在针对身份验证绕过漏洞的漏洞扫描大幅上升之际，Fortinet周五发布了另一条建议，敦促客户尽快将受影响的设备升级到最新版本。

该公司表示：“在过去一周Fortinet多次发出通知后，仍有大量设备需要缓解，在外部发布POC代码后，该漏洞被积极利用”。

Fortinet设备中的问题以前一直是攻击者的目标，以在目标网络上获得初步立足点。CVE-2018-13379仍然是近年来最具武器化的缺陷之一，促使该公司在2019年8月、2020年7月和2021再次发出三次后续警报。