Fortinet FortiOS, FortiProxy ve FortiSwitchManager’ı etkileyen ve yakın zamanda açıklanan kritik güvenlik açığı için, kullanıcıların yamaları uygulamak için hızlı hareket etmelerini zorunlu kılan bir kavram kanıtı (PoC) yararlanma kodu kullanıma sunuldu.
Horizon3.ai araştırmacısı James Horseman, “FortiOS, kullanıcının sistemi yapılandırmasına izin veren bir yönetim web portalı ortaya koyuyor” söz konusu. “Ayrıca, bir kullanıcı, kilitli bir CLI arayüzünü ortaya çıkaran sisteme SSH yapabilir.”
CVE-2022-40684 (CVSS puanı: 9.6) olarak izlenen sorun, kimlik doğrulama atlama uzaktaki bir saldırganın özel hazırlanmış HTTP(S) istekleri aracılığıyla yönetim arabiriminde kötü amaçlı işlemler gerçekleştirmesine olanak verebilecek güvenlik açığı.
Eksikliğin başarılı bir şekilde kullanılması, etkilenen sistemde ağ yapılandırmalarını değiştirmek, kötü niyetli kullanıcılar eklemek ve ağ trafiğini engellemek dahil olmak üzere “hemen hemen her şeyi yapmak için” tam erişim sağlamakla eşdeğerdir.
Bununla birlikte, siber güvenlik firması, böyle bir talepte bulunurken iki temel ön koşul olduğunu söyledi –
- Saldırgan, Forwarded başlığını kullanarak client_ip değerini “127.0.0.1” olarak ayarlayabilir.
- “Güvenilir erişim” kimlik doğrulama denetimi, client_ip’nin “127.0.0.1” ve Kullanıcı Aracısının “Rapor Çalıştırıcısı” olduğunu doğrular ve bunların her ikisi de saldırganın denetimi altındadır.
PoC’nin piyasaya sürülmesi, Fortinet’in kusurun vahşi doğada aktif bir şekilde istismar edildiğinin zaten farkında olduğu konusunda uyardığı ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) federal kurumları sorunu Kasım ayına kadar düzeltmeye çağıran bir tavsiye yayınlamaya teşvik etmesiyle geldi. 1, 2022.
Tehdit istihbarat firması GreyNoise saptanmış 13 Ekim 2022 itibariyle, çoğunluğu CVE-2022-40684’ü silahlandıran 12 benzersiz IP adresi bulunan Almanya’yı ABD, Brezilya, Çin ve Fransa takip ediyor.