Es ist ein funktionierender Exploit im Umlauf, mit dem die Authentifizierungsprotokolle in Fortinet-Geräten umgangen werden können. Damit könnten Angreifer auf Ihre Geräte zugreifen und dort tun, was sie wollen!
Dieser kritische Fehler tritt häufig in FortiProxy, FortiSwitchManager und praktisch allen Geräten auf, die unter FortiOS laufen. Obwohl der Hersteller einen Patch zur Behebung des Problems veröffentlicht hat, müssen die Endkunden diesen installieren, um sich zu schützen.
Fortinet-Authentifizierungs-Bypass-Fehler
Da sich Fortinet mit Netzwerksicherheit beschäftigt, ist das Unternehmen häufig dem Risiko von Cyberangriffen ausgesetzt. Daher empfiehlt das Unternehmen seinen Benutzern, alle bekannten Schwachstellen in seinen Geräten zu beheben, um sich zu schützen.
Die jüngste derartige Warnung betrifft die CVE-2022-40684 – eine Sicherheitslücke in den Geräten FortiOS, FortiProxy und FortiSwitchManager von Fortinet, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und mit dem kompromittierten System praktisch alles zu machen, was sie wollen.
Die Sicherheitsforscher von Horizon3.ai haben einen Proof-of-Concept (POC)-Exploit für diesen Fehler veröffentlicht, nachdem sie versprochen hatten, im Laufe dieser Woche einen solchen zu veröffentlichen. Der PoC umfasst sogar eine technische Ursachenanalyse für diese Schwachstelle, was das Verständnis erleichtert.
Ein weiteres Gerät ist anfällig …
CVE-2022-40684, betrifft mehrere Fortinet Lösungen, ist ein Authentifizierungs-Bypass, der es Remote-Angreifern ermöglicht, mit allen Management-API-Endpunkten zu interagieren.
Blogbeitrag und POC folgen später diese Woche. Patch jetzt. pic.twitter.com/YS7svIljAw
— Horizon3 Attack Team (@Horizon3Attack) 10. Oktober 2022
Angreifer, die diesen Fehler ausnutzen, können den Authentifizierungsprozess auf der Verwaltungsoberfläche von umgehen. FortiGate-Firewalls, FortiProxy-Webproxys und FortiSwitch Manager (FSWM)-Verwaltungsinstanzen vor Ort und gehen Sie wie folgt vor:
- Ändern der SSH-Schlüssel der Administratorbenutzer, um dem Angreifer die Anmeldung beim angegriffenen System zu ermöglichen.
- Neue lokale Benutzer hinzufügen.
- Aktualisieren der Netzwerkkonfigurationen, um den Datenverkehr umzuleiten.
- Herunterladen der Systemkonfiguration.
- Initiieren der Paketerfassung, um andere vertrauliche Systeminformationen zu erfassen.
Obwohl zunächst kein Kommentar abgegeben werden konnte, Fortinet gab schließlich bekannt, dass dem Unternehmen bekannt ist, dass dieser Fehler aktiv ausgenutzt wird. Um zu überprüfen, ob Ihr Fortinet-Gerät betroffen ist oder nicht, prüfen Sie die Geräteprotokolle auf user=”Local_Process_Access”, user_interface=”Node.js” oder user_interface=”Report Runner”.
Und wenn Sie keinen Patch anwenden können, schlägt Fortinet als Workarounds das Deaktivieren der HTTP/HTTPS-Verwaltungsschnittstelle oder die Beschränkung der IP-Adressen über eine lokale Richtlinie Ihrer Geräte vor.
Fortinet hat am vergangenen Donnerstag Patches für diesen Fehler veröffentlicht und die Kunden dringend aufgefordert, diese zum eigenen Schutz dringend anzuwenden. Die Lage ist so ernst, dass die CISA den Fortinet-Bug in ihre Liste der Sicherheitslücken aufgenommen hat und alle zivilen Bundesbehörden dazu zwingt, ihre Geräte bis zum 1. November zu patchen.