Fortinet の FortiOS、FortiProxy、および FortiSwitchManager アプライアンスに影響を与える重大な認証バイパスの脆弱性に対して、概念実証のエクスプロイト コードが利用可能になりました。
このセキュリティ上の欠陥 (CVE-2022-40684) により、攻撃者は FortiGate ファイアウォール、FortiProxy Web プロキシ、および FortiSwitch Manager (FSWM) オンプレミス管理インスタンスの管理インターフェイスで認証プロセスをバイパスできます。
Fortinet は先週の木曜日に、この欠陥に対処するためのセキュリティ アップデートをリリースしました。また、影響を受けるデバイスのリモート管理ユーザー インターフェイスを「至急」無効にするよう、プライベート アラートで顧客に要請しました。
CVE-2022-40684 の PoC が今週利用可能になるという発表に続き、Horizon3.ai のセキュリティ研究者は本日、この脆弱性の概念実証 (PoC) エクスプロイトと技術的な根本原因分析をリリースしました。
PoC エクスプロイトは、認証バイパスの欠陥を悪用して、コマンド ラインから Python スクリプトを起動するときに指定されたユーザーに SSH キーを設定するように設計されています。
「攻撃者は、この脆弱性を利用して、脆弱なシステムに対してあらゆることを行うことができます。これには、ネットワーク構成の変更、新しいユーザーの追加、およびパケット キャプチャの開始が含まれます」と、Horizon3.ai エクスプロイト開発者の James Horseman は説明しています。
「このエクスプロイトは、HTTP ヘッダーが不適切に検証されているか、過度に信頼されているという、最近発見されたエンタープライズ ソフトウェアの脆弱性の傾向に従っているようです。」
さらに、 以前の Horizon3.ai の分析によると、攻撃者は次の方法でシステムをさらに侵害する可能性もあります。
- 管理者ユーザーの SSH キーを変更して、攻撃者が侵害されたシステムにログインできるようにします。
- 新しいローカル ユーザーの追加。
- ネットワーク構成を更新してトラフィックを再ルーティングします。
- システム構成をダウンロードしています。
- パケット キャプチャを開始して、他の重要なシステム情報をキャプチャします。
積極的に悪用される可能性
公開されている PoC エクスプロイトは、脆弱なすべての FortiOS、FortiProxy、および FortiSwitchManager アプライアンスに直ちにパッチを適用する必要がありますが、この脆弱性はすでに攻撃でも悪用されています。
Fortinet の広報担当者は、脆弱性が実際に悪用されているかどうかを尋ねられたとき、コメントを拒否しましたが、同社は月曜日に、脆弱性が悪用された少なくとも 1 つの攻撃を認識していることを確認しました.
「フォーティネットは、この脆弱性が悪用された例を認識しており、デバイスのログにある次の侵害の兆候に対してシステムをすぐに検証することをお勧めします」とフォーティネットは述べています。
CISA は火曜日に、CVE-2022-40684 を実際に悪用されることが知られているセキュリティ バグのリストに追加し、進行中の攻撃をブロックするために、11 月 1 日までにすべての連邦文民行政機関のフォーティネット デバイスにパッチを適用する必要があります。
サイバーセキュリティ企業の GreyNoise も木曜日に、攻撃者が CVE-2022-40684 を実際に悪用しようとしているのを確認したことを共有しました。
GreyNoise は、CVE-2022-40684、FortiOS Authentication Bypass Attempt を悪用する最初の IP を観測しました。 IP は認証バイパスを利用し、FortiOS 構成のバックアップをエクスポートしようとしました。 https://t.co/AknYbOfLYn pic.twitter.com/zdpKHYB1Kk
— GreyNoise (@GreyNoiseIO) 2022 年 10 月 13 日
「これらのデバイスをタイムリーに更新できない場合、アップグレードが実行できるようになるまで、インターネット向けの HTTPS 管理をただちに無効にする必要があります」と Fortinet は先週、非公開の通知でユーザに警告しました。
パッチをすぐに適用したり、脆弱なアプライアンスを無効にしてサーバーが侵害されないようにすることができない管理者は、このセキュリティ アドバイザリでフォーティネットが共有する軽減策を使用することもできます。
回避策として、HTTP/HTTPS 管理インターフェースを無効にするか、Local in Policy を使用して管理インターフェースに到達できる IP アドレスを制限する必要があります。
緩和策やパッチを適用する前に、デバイスがすでに侵害されているかどうかを確認したい場合は、デバイスのログで user=” Local_Process_Access”、user_interface=” Node.js”、または user_interface=” Report Runner” を確認できます。
Comments