Mã khai thác Proof-of-concept (PoC) đã được cung cấp cho lỗ hổng bảo mật quan trọng được tiết lộ gần đây ảnh hưởng đến Fortinet FortiOS, FortiProxy và fortiswitchmanager, khiến người dùng bắt buộc phải nhanh chóng áp dụng các bản vá.
Nhà nghiên cứu James Horseman của Horizon3.ai cho biết: “FortiOS tiết lộ một cổng web quản lý cho phép người dùng cấu hình hệ thống. “Ngoài ra, người dùng có thể SSH vào hệ thống để lộ giao diện CLI bị khóa.”
Vấn đề, được theo dõi là CVE-2022-40684 (điểm CVSS: 9,6), liên quan đến lỗ hổng bỏ qua xác thực có thể cho phép kẻ tấn công từ xa thực hiện các hoạt động độc hại trên giao diện quản trị thông qua các yêu cầu HTTP (S) được tạo đặc biệt.
Việc khai thác thành công thiếu sót này tương đương với việc cấp quyền truy cập hoàn toàn “để làm bất cứ điều gì” trên hệ thống bị ảnh hưởng, bao gồm thay đổi cấu hình mạng, thêm người dùng độc hại và chặn lưu lượng mạng.
Điều đó nói rằng, công ty an ninh mạng nói rằng có hai điều kiện tiên quyết cần thiết khi đưa ra một yêu cầu như vậy –
Sử dụng tiêu đề Được chuyển tiếp, kẻ tấn công có thể đặt client_ip thành “127.0.0.1”. Kiểm tra xác thực “quyền truy cập đáng tin cậy” xác minh rằng client_ip là “127.0.0.1” và User-Agent là “Report Runner” cả hai đều là dưới sự kiểm soát của kẻ tấn công
Việc phát hành PoC được đưa ra khi Fortinet cảnh báo rằng họ đã biết về một trường hợp khai thác tích cực lỗ hổng trong tự nhiên, khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra một lời khuyên thúc giục các cơ quan liên bang vá lỗ hổng này vào tháng 11. 1, 2022.
Công ty tình báo mối đe dọa GreyNoise đã phát hiện 12 địa chỉ IP duy nhất được vũ khí hóa CVE-2022-40684 kể từ ngày 13 tháng 10 năm 2022, với phần lớn trong số đó nằm ở Đức, tiếp theo là Brazzil, Mỹ, Trung Quốc và Pháp.
