TI - Update 11.10.2022: CVE-2022-40684 FortiOS/FortiProxy/FortiSwitchManager Authentication Bypass On Administrative Interface

Beschreibung:

Ein aktualisiertes PSIRT Advisory des Herstellers Fortinet weist darauf hin, dass die Schwachstelle bereits ausgenutzt wurde. Fortinet hat einen Indikator veröffentlicht, welcher für eine Suche in den Logs genutzt werden kann.

Folgender Indikator kann in den Geräte Logs gesucht werden: user="Local_Process_Access" Wenn der Indikator gefunden wird könnte es sein, dass die Instanz des FortiOS / FortiProxy / FortiSwitchManager kompromittiert wurde. Das Advisory enthält detaillierte Informationen für die Implementierung von Workarounds, wenn die Aktualisierung der betroffenen Geräte nicht umgehend durchgeführt werden kann. Zudem weitet sich der Scope der Schwachstelle auf den FortiSwitchManager aus. Die Versionen 7.2.0 und 7.0.0 sind von der Schwachstelle betroffen. Eine Aktualisierung des FortiSwitchManagers auf die Version 7.2.1 oder höher löst das Problem.

Aktuelle Entwicklungen weisen darauf hin, dass eine versuchte Ausnutzung der Schwachstelle bei einer Vielzahl von Geräten weltweit bevor steht. Sicherheitsforscher planen in ein paar Wochen einen Blogpost bzw. einen Proof-of-Concept Exploit. Dies würde Angreifern Tools zur Ausnutzung der Schwachstelle zur Verfügung stellen.

Zudem beobachten externe Honeypot Betreiber bereits starke Anstiege an Scans nach Fortinet-Geräten. Es scheint als würden unbekannte Angreifer / Angreifer-Gruppen bereits Listen für den Angriff aufbauen.

Unsere Empfehlung lautet daher die betroffenen Geräte umgehend zu aktualisieren oder die Workarounds aus dem PSIRT Advisory zu implementieren. Des Weiteren empfehlen wir die Untersuchung der betroffenen Fortinet-Geräte mit dem Indikator aus dem PSIRT Advisory.

Betroffene Systeme:

FortiOS: von 7.0.0 <= 7.0.6 / von 7.2.0 <= 7.2.1 FortiProxy: von 7.0.0 <= 7.0.6 / 7.2.0 FortiSwitchManager: 7.2.0 / 7.0.0

Behobene Versionen:

FortiGate: FortiOS auf Version 7.0.7 oder 7.2.2 aktualisieren FortiProxy: aktualisieren auf 7.0.7 oder 7.2.1 FortiSwitchManager: aktualisieren auf 7.2.1 oder höher

Empfohlene Maßnahmen:

Unsere Empfehlung lautet daher die betroffenen Geräte umgehend zu aktualisieren oder die Workarounds aus dem PSIRT Advisory zu implementieren. Des Weiteren empfehlen wir die Untersuchung der betroffenen Fortinet-Geräte mit dem Indikator aus dem PSIRT Advisory.

Einschätzung der Bedrohung:

Der Hersteller Fortinet berichtet, dass die Schwachstelle bereits ausgenutzt wird. Betreiber externer Honeypots berichten von starken Anstiegen bei Scans nach Fortinet Geräten.

Weiterführende Links:

https://www.fortiguard.com/psirt/FG-IR-22-377  https://twitter.com/sans_isc/status/1579548287308550145