Fortinet證實CVE-2022-40684身份驗證繞過安全漏洞的野外利用


Fortinet周一指出,上周修補的CVE-2022-40684身份驗證繞過安全漏洞,正在野外被廣泛利用。作為管理界面上的一個身份驗證繞過漏洞,遠程威脅參與者可利用其登錄FortiGate防火墻、FortiProxyWeb代理、以及FortiSwitchManager(FSWM)本地管理實例。

上周四,Fortinet 通過安全更新修復此漏洞,並通過電子郵件(所謂“高級通訊”)向部分客戶發去提醒,敦促其以最緊迫的方式、禁用受影響設備上的遠程管理用戶界面。

BleepingComputer 於上周五聯系該公司,得知幾天內會分享更多信息。但當被問及該漏洞是否在野外被積極利用時,Fortinet 發言人拒絕置評。

本周一,Fortinet 終於在一份咨詢中稱:

於 FortiOS、FortiProxy 和 FortiSwitchManager 中使用的備用路徑 / 通道漏洞 [CWE-288] 繞過身份驗證,或允許未經身份驗證的攻擊者、通過特制的 HTTP / HTTPS 請求在管理界面上執行操作。

Fortinet 已知悉某個漏洞利用實例,並建議客戶根據設備日志中的如下危害指標(user="Local_Process_Access"),來立即驗證您的系統。

在上周發佈安全補丁後,Fortinet 就要求客戶:

● 將易受攻擊的 FortiOS 設備更新至 7.0.7 / 7.2.2 及更高版本、

● 將 FortiProxy 設備更新至 7.0.7 / 7.2.1 及更高版本、

● 將 FortiSwitchManager 設備更新至 7.2.1 或更高版本。

以下是不打補丁就易受攻擊的 Fortinet 完整產品列表:

【FortiOS】7.2.1、7.2.0、7.0.6、7.0.5、7.0.4、7.0.3、7.0.2、7.0.1、7.0.0

【FortiProxy】7.2.0、7.0.6、7.0.5、7.0.4、7.0.3、7.0.2、7.0.1、7.0.0

【FortiSwitchManager】7.2.0、7.0.0

最後,Horizon3 安全研究人員已經開發 CVE-2022-40684 的概念驗證(PoC)漏洞利用代碼,並計劃在本周晚些時候發佈。

由 Shodan 檢索可知,目前互聯網上有超過 14 萬個 FortiGate 防火墻。若其管理員界面被暴露於公網,就很有可能遭受這一漏洞攻擊。

對於無法立即更新的客戶,Fortinet 也提供緩解傳入攻擊的方法 —— 管理員應禁用 HTTP / HTTPS 管理界面、或使用本地策略來限制管理界面的 IP 地址訪問。


相關推薦

2023-11-22

算作使用 Windows Hello)。這已經不是 Windows Hello 生物識別身份驗證第一次被破解。2021 年,微軟被迫修復一個 Windows Hello 身份驗證繞過漏洞,該漏洞涉及捕捉受害者的紅外圖像來欺騙 Windows Hello 的面部識別功能。不過,目前還不

2022-08-04

,攻擊者正使用AiTM中間人技術,來繞過當前的MFA多因素身份驗證,且企業客戶很容易受到這方面的影響。AiTM 工作原理(圖自:Microsoft 官網)顧名思義,AiTM 技術會將攻擊者置於通訊流程的中間節點,以攔截客戶端與服務器之間

2022-08-29

的號碼),然後通過發送短信來忽悠員工登錄精心偽造的身份驗證頁面。受害者遭遇的常規網絡釣魚套路(圖自:Group-IB)40 分鐘內,76 名 Cloudflare 員工陸續收到釣魚短信 —— 其中包含一個在攻擊實施 40 分鐘前才註冊的域名,

2022-09-29

在iOS16系統中,蘋果引入名為自動身份認證(AutomaticVerification)的功能,可以通過自動化、隱私化認證用戶設備以及通過iCloud驗證AppleID賬號,從而繞過CAPTCHA驗證方式。而得益於Cloudflare推出的最新TurnstileAPI,幾乎任何網站都可以

2023-11-14

Bleed 打補丁。它允許攻擊者完全、輕松地繞過所有形式的身份驗證,正在被勒索軟件集團利用。它就像在組織內部指點和點擊一樣簡單,讓攻擊者在另一端擁有一臺完全交互的遠程桌面電腦。"最近幾周,針對未減弱的 NetScale

2022-09-15

活動,且攻擊者旨在收集受害者的賬戶憑據、以及多因素身份驗證等詳細信息。如圖所示,釣魚郵件發佈者假借悼念女王之名,忽悠收件人跳轉到微軟的某個“人工技術中心”。為將戲演得更真切,攻擊者假邀受害者為紀念女王

2023-04-20

支持的黑客被發現在一些活動中攻擊網絡設備,例如利用Fortinet設備的一個零日漏洞,對政府組織進行一系列攻擊。

2023-01-31

,當用戶在新的Meta賬戶中心輸入用於登錄賬戶的雙因素驗證內容時,Meta沒有設置嘗試次數的限制,該中心幫助用戶連接他們所有的Meta賬戶,如Facebook和Instagram。有受害者的電話號碼或電子郵件地址,攻擊者就會到集中的賬戶中

2022-09-17

近年來,人臉識別、指紋識別等身份驗證技術已成為手機銀行的“標配”,在幫助用戶提高效率的同時,也衍生一些弊端。近期,有用戶發現,在光大銀行手機端轉賬時所驗證的指紋,並非是本人在銀行錄入的指紋,而是手機內

2024-02-02

到受影響設備的任何系統進行威脅狩獵,監控可能暴露的身份驗證或身份管理服務,並繼續審計權限級別訪問賬戶。CISA 還提供恢復 Ivanti 設備在線運行的說明,但沒有給聯邦機構規定恢復 Ivanti 設備在線運行的最後期限。"CIS

2022-07-12

全,在修改QQ密碼、更改綁定的手機號碼時,需要先驗證身份才可以繼續操作。驗證身份的方式可自由選擇,比如短信驗證、資料驗證等,其中有一種驗證方式是邀請好友幫助驗證身份。QQ安全中心提醒,已經升級驗證流程,現

2022-08-11

思科(Cisco)周三證實:今年五月,Yanluowang勒索軟件團夥入侵該公司的網絡,並試圖利用線上泄露的被盜文件索取贖金。即便如此,思科還是堅稱攻擊者僅從與受感染員工賬戶相關聯的Box文件夾中,獲取並竊取非敏感數據。思科

2023-12-05

卡之外,其他建議的措施還包括要求用戶上傳帶有照片的身份證件,如駕照或護照,或者讓網站使用"面部年齡估計"技術來分析一個人的面部,以確定其是否已滿 18 歲。僅僅要求網站訪問者聲明自己是成年人還不夠嚴格

2022-09-01

用戶不慎點擊某個惡意鏈接後,其個人簡介就被篡改成“安全漏洞”(SECURITY BREACH)。圖 12 - 被盜賬戶示例通過這一高危漏洞,微軟重申在技術平臺與供應商之間展開充分協作和協調的重要性。圖 7 - 使用 Medusa 識別 Deep Linking 及