Fortinet警告新的Auth旁路缺陷影响FortiGate和FortiProxy

Fortinet私下警告其客户，FortiGate防火墙和FortiProxy网络代理存在安全漏洞，可能允许攻击者在易受攻击的设备上执行未经授权的操作。

跟踪为简历-2022-40684（CVSS得分：9.6），关键缺陷与身份验证绕过漏洞有关，该漏洞可能允许未经身份验证的对手通过精心设计的HTTP（S）请求在管理界面上执行任意操作。

该问题影响以下版本，已在本周发布的FortiOS版本7.0.7和7.2.2以及FortiProxy版本7.0.7与7.2.1中解决：

• FortiOS-从7.0.0到7.0.6，从7.2.0到7.2.1
• FortiProxy-从7.0.0到7.0.6和7.2.0

“由于能够远程利用这个问题，Fortinet强烈建议所有有漏洞版本的客户立即进行升级，”该公司在Twitter上一位化名为Gitworm的安全研究员分享的警告中警告道。

作为临时解决方案，该公司建议用户在升级到位之前禁用面向互联网的HTTPS管理，或者对“本地流量”实施防火墙策略

当联系到Fortinet发表评论时，Fortinet承认了这一建议，并指出，在客户应用修复程序之前，它将推迟发布公告。

该公司在与《黑客新闻》分享的一份声明中表示：“及时、持续地与客户沟通是我们努力最好地保护和保护其组织的关键组成部分”。“客户沟通通常详细介绍最新的指导和建议的下一步措施，以最佳地保护和保护其组织”。

“有些情况下，保密的预先客户沟通可以包括预警，以使客户能够进一步加强其安全态势，并在未来几天向更广泛的受众公开发布。客户的安全是我们的首要任务”。