Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/fortinet-says-critical-auth-bypass-bug-is-exploited-in-attacks/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #fortinet #diz #que #bug #crítico #de #bypass #de #autenticação #é #explorado #em #ataques
A Fortinet confirmou hoje que uma vulnerabilidade crítica de segurança de desvio de autenticação corrigida na semana passada está sendo explorada em estado selvagem.
A falha de segurança (CVE-2022-40684) é um desvio de autenticação na interface administrativa que permite que agentes de ameaças remotos façam login em firewalls FortiGate, proxies da Web FortiProxy e instâncias de gerenciamento local do FortiSwitch Manager (FSWM).
“Um desvio de autenticação usando um caminho alternativo ou vulnerabilidade de canal [CWE-288] no FortiOS, FortiProxy e FortiSwitchManager pode permitir que um invasor não autenticado execute operações na interface administrativa por meio de solicitações HTTP ou HTTPS especialmente criadas”, disse Fortinet em um comunicado divulgado hoje .
A empresa lançou atualizações de segurança para resolver essa falha na quinta-feira. Também alertou alguns de seus clientes por e-mail (no que chama de "comunicação avançada") para desativar as interfaces de usuário de gerenciamento remoto nos dispositivos afetados "com a máxima urgência".
Um porta-voz da Fortinet se recusou a comentar quando perguntado se a vulnerabilidade é explorada ativamente na natureza quando a BleepingComputer entrou em contato na sexta-feira e deu a entender que a empresa compartilharia mais informações nos próximos dias.
Hoje, dias depois de emitir o aviso privado, a Fortinet finalmente admitiu que sabe de pelo menos um ataque em que o CVE-2022-40684 foi explorado.
"A Fortinet está ciente de uma instância em que essa vulnerabilidade foi explorada e recomenda validar imediatamente seus sistemas contra o seguinte indicador de comprometimento nos logs do dispositivo: user="Local_Process_Access", disse a empresa.
A lista completa de produtos vulneráveis da Fortinet expostos a ataques que tentam explorar a falha CVE-2022-40 se não forem corrigidos inclui:
FortiOS: 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiProxy: 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiSwitchManager: 7.2.0, 7.0.0
A Fortinet lançou patches de segurança na semana passada e pediu aos clientes que atualizassem os dispositivos vulneráveis para FortiOS 7.0.7 ou 7.2.2 e superior, FortiProxy 7.0.7 ou 7.2.1 e superior e FortiSwitchManager 7.2.1 ou superior para defender seus dispositivos contra ataques.
Exploração PoC pronta para ser lançada
Pesquisadores de segurança da Horizon3 Attack Team desenvolveram um código de exploração de prova de conceito (PoC) e anunciaram seu lançamento no final desta semana.
Mais um aparelho desmontado...
O CVE-2022-40684, que afeta várias soluções #Fortinet, é um desvio de autenticação que permite que invasores remotos interajam com todos os endpoints da API de gerenciamento.
Postagem no blog e POC chegando ainda esta semana. Patch agora. pic.twitter.com/YS7svIljAw
— Equipe de Ataque Horizon3 (@Horizon3Attack) 10 de outubro de 2022
Por uma pesquisa do Shodan, mais de 140.000 firewalls FortiGate podem ser acessados pela Internet e provavelmente estarão expostos a ataques se suas interfaces de gerenciamento de administração também estiverem expostas.
Firewalls FortiGate expostos à Internet (Shodan)
Solução alternativa também disponível
A Fortinet também forneceu informações sobre como os clientes podem bloquear ataques recebidos, mesmo que não possam implantar atualizações de segurança imediatamente.
Para impedir que invasores remotos ignorem a autenticação e façam login em dispositivos vulneráveis, os administradores devem desabilitar a interface administrativa HTTP/HTTPS ou limitar os endereços IP que podem acessar a interface administrativa usando uma política local.
Informações detalhadas sobre como desabilitar a interface de administração vulnerável para FortiOS, FortiProxy e FortiSwitchManager ou limitar o acesso por endereço IP podem ser encontradas neste comunicado Fortinet PSIRT publicado segunda-feira, 10 de outubro.
"Se esses dispositivos não puderem ser atualizados em tempo hábil, a administração HTTPS voltada para a Internet deve ser imediatamente desativada até que a atualização possa ser realizada", disse a Fortinet em notificações enviadas a alguns de seus clientes na semana passada.
Postar um comentário