PoC Exploit 针对主动攻击下的关键 Fortinet 身份验证绕过漏洞发布

最近披露的影响 Fortinet FortiOS、FortiProxy 和 FortiSwitchManager 的严重安全漏洞已提供概念验证 (PoC) 漏洞利用代码，因此用户必须迅速采取行动以应用补丁。

“FortiOS 公开了一个管理门户网站，允许用户配置系统，”Horizon3.ai 研究员 James Horseman说。“此外，用户可以通过 SSH 进入系统，该系统会暴露一个锁定的 CLI 界面。”

该问题跟踪为CVE-2022-40684（CVSS 评分：9.6），涉及身份验证绕过漏洞，该漏洞可能允许远程攻击者通过特制的 HTTP(S) 请求在管理界面上执行恶意操作。

成功利用该缺陷相当于授予受影响系统上“几乎可以做任何事情”的完全访问权限，包括更改网络配置、添加恶意用户和拦截网络流量。

也就是说，这家网络安全公司表示，提出这样的要求有两个基本的先决条件——

• 使用 Forwarded 标头，攻击者能够将 client_ip 设置为“127.0.0.1”
• “可信访问”身份验证检查验证 client_ip 为“127.0.0.1”且 User-Agent 为“Report Runner”，两者均受攻击者控制

PoC 发布之际，Fortinet警告称，它已经意识到在野外积极利用该漏洞的实例，促使美国网络安全和基础设施安全局 (CISA) 发布建议，敦促联邦机构在 11 月之前修复该问题2022 年 1 月 1 日。

截至 2022 年 10 月 13 日，威胁情报公司 GreyNoise 已检测到12 个将 CVE-2022-40684 武器化的唯一 IP 地址，其中大部分位于德国，其次是美国、巴西、中国和法国。

WordPress 安全公司 WordFence 还表示，它发现了来自 21 个不同 IP 地址的探测尝试，以“确定 Fortinet 设备是否到位”，同时还观察与 PoC 匹配的 HTTP 请求，以向管理员用户添加 SSH 密钥。

更新：在针对身份验证绕过漏洞的漏洞扫描大幅增加的情况下，Fortinet 周五发布了另一份公告，敦促客户尽快将受影响的设备升级到最新版本。

“在过去一周来自 Fortinet 的多次通知之后，仍有大量设备需要缓解，并且在外部方发布 POC 代码后，该漏洞正在积极利用，”该公司表示。

Fortinet 设备中的问题以前已成为攻击者的目标，以便在目标网络上获得初步立足点。CVE-2018-13379一直是近年来武器化程度最高的漏洞之一，促使该公司在 2019 年 8 月、2020 年 7 月和 2021 年 4 月再次发出三个后续警报。