Exploit PoC publié pour le bogue critique Fortinet Auth Bypass sous des attaques actives


Un code d’exploitation de preuve de concept (PoC) a été mis à disposition pour la faille de sécurité critique récemment révélée affectant Fortinet FortiOS, FortiProxy et FortiSwitchManager, ce qui oblige les utilisateurs à agir rapidement pour appliquer les correctifs.

« FortiOS expose un portail Web de gestion qui permet à un utilisateur de configurer le système », a déclaré le chercheur d’Horizon3.ai, James Horseman. a dit. « De plus, un utilisateur peut SSH dans le système qui expose une interface CLI verrouillée. »

La cyber-sécurité

Le problème, suivi comme CVE-2022-40684 (score CVSS : 9,6), concerne un contournement d’authentification vulnérabilité qui pourrait permettre à un attaquant distant d’effectuer des opérations malveillantes sur l’interface d’administration via des requêtes HTTP(S) spécialement conçues.

Une exploitation réussie de la lacune revient à accorder un accès complet « pour faire à peu près n’importe quoi » sur le système affecté, y compris la modification des configurations réseau, l’ajout d’utilisateurs malveillants et l’interception du trafic réseau.

Cela dit, la société de cybersécurité a déclaré qu’il y avait deux conditions préalables essentielles pour faire une telle demande –

  • En utilisant l’en-tête Forwarded, un attaquant est capable de positionner le client_ip à « 127.0.0.1 »
  • Le contrôle d’authentification « accès de confiance » vérifie que le client_ip est « 127.0.0.1 » et que l’agent utilisateur est « Report Runner », tous deux sous le contrôle de l’attaquant
La cyber-sécurité

La publication du PoC intervient alors que Fortinet a averti qu’il était déjà au courant d’un cas d’exploitation active de la faille dans la nature, ce qui a incité la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis à publier un avis exhortant les agences fédérales à corriger la faille d’ici novembre. 1, 2022.

La société de renseignements sur les menaces GreyNoise a détecté 12 adresses IP uniques militarisant CVE-2022-40684 au 13 octobre 2022, avec une majorité d’entre elles situé en Allemagne, suivi du Brésil, des États-Unis, de la Chine et de la France.



ttn-fr-57