Fortinet Warnung vor Schwachstelle CVE-2022-40684

Publiziert am 13. Oktober 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]In den FortiGate-Firewalls, FortiProxy-Webproxys und FortiSwitch Manager (FSWM) gibt es eine Authentifizierungs-Bypass-Schwachstelle CVE-2022-40684 , die Angreifer einen Zugriff auf die Produkte ohne Authentifizierung ermöglicht. Fortinet hatte bereits Anfang Oktober 2022 gewarnt – inzwischen erfolgen aber wohl Angriffe auf die Systeme. Administratoren sollten die betreffenden Produkte schnellstmöglich auf Kompromittierung prüfen und die Systeme absichern. Ergänzung: Inzwischen ist ein Proof of Concept öffentlich.

Anzeige

Fortinet hat zum 10. Oktober 2022 dazu die Sicherheitswarnung FG-IR-22-377 (FortiOS / FortiProxy / FortiSwitchManager – Authentication bypass on administrative interface) veröffentlicht. CVE-2022-40684 ermöglicht die Authentifizierung unter Verwendung eines alternativen Pfads oder Kanals zu umgehen. Daher kann es in FortiOS, FortiProxy und FortiSwitchManager einem nicht authentifizierten Angreifer gelingen, über speziell gestaltete HTTP- oder HTTPS-Anfragen Operationen auf der Verwaltungsschnittstelle durchzuführen. Anfällig für die Schwachstelle sind die Firmware-Versionen einschließlich:

  • FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
  • FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
  • FortiSwitchManager : 7.2.0, 7.0.0

Fortinet ist ein Fall bekannt, in dem diese Schwachstelle ausgenutzt wurde, und empfiehlt, Systeme sofort anhand des folgenden Indikators auf eine Kompromittierung in den Protokollen des Geräts zu überprüfen:

user="Local_Process_Access"

Bei einer Infektion empfiehlt Fortinet sich an den Kundensupport zu wenden. Vom Hersteller stehen Firmware-Updates zum Aktualisieren von FortiOS zur Verfügung. Nachfolgende Versionen beseitigen die Schwachstelle:

Anzeige

FortiOS 7.2.2 oder höher
FortiOS 7.0.7 oder höher
FortiProxy 7.2.1 oder höher
FortiProxy 7.0.7 oder höher
FortiSwitchManager 7.2.1 oder höher

Zur Absicherung bestehender Systeme gegen solche Angriffe empfiehlt der Anbieter das Deaktivieren der HTTP/HTTPS-Verwaltungsschnittstelle. Alternativ sollten die IP-Adressen mit Zugriff auf die administrative Schnittstelle begrenzt werden. Details dazu finden sich in der Sicherheitswarnung FG-IR-22-377.

Fortinet CVE-2022-40684 Ergänzung: Gemäß obigem Tweet hat Horizon AI eine detailliertere Analyse der Schwachstelle samt Proof of Concept veröffentlicht.

Anzeige
Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.