Se puso a disposición un código de explotación de prueba de concepto (PoC) para la falla de seguridad crítica recientemente revelada que afecta a Fortinet FortiOS, FortiProxy y FortiSwitchManager, por lo que es imperativo que los usuarios se muevan rápidamente para aplicar los parches.
«FortiOS expone un portal web de gestión que permite al usuario configurar el sistema», dijo James Horseman, investigador de Horizon3.ai. dijo. «Además, un usuario puede SSH en el sistema que expone una interfaz CLI bloqueada».
El problema, rastreado como CVE-2022-40684 (puntaje CVSS: 9.6), se refiere a un omisión de autenticación Vulnerabilidad que podría permitir a un atacante remoto realizar operaciones maliciosas en la interfaz administrativa a través de solicitudes HTTP(S) especialmente diseñadas.
Una explotación exitosa de la deficiencia equivale a otorgar acceso completo «para hacer casi cualquier cosa» en el sistema afectado, incluida la alteración de las configuraciones de la red, la adición de usuarios maliciosos y la intercepción del tráfico de la red.
Dicho esto, la firma de ciberseguridad dijo que hay dos requisitos previos esenciales al realizar dicha solicitud:
- Usando el encabezado Reenviado, un atacante puede establecer client_ip en «127.0.0.1»
- La verificación de autenticación de «acceso de confianza» verifica que client_ip sea «127.0.0.1» y que el User-Agent sea «Report Runner», los cuales están bajo el control del atacante
El lanzamiento del PoC se produce cuando Fortinet advirtió que ya está al tanto de una instancia de explotación activa de la falla en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir un aviso instando a las agencias federales a parchear la falla para noviembre. 1, 2022.
La firma de inteligencia de amenazas GreyNoise ha detectado 12 direcciones IP únicas armadas con CVE-2022-40684 a partir del 13 de octubre de 2022, con la mayoría de ellas situado en Alemania, seguido por Brasil, Estados Unidos, China y Francia.