Existe un exploit que funciona para eludir los protocolos de autenticación en los dispositivos de Fortinet, lo que puede permitir que las infracciones lleguen a sus dispositivos para hacer lo que quieran.
Este error crítico prevalece en FortiProxy, FortiSwitchManager y prácticamente en todos los dispositivos que se ejecutan en FortiOS. Aunque el fabricante lanzó un parche para solucionarlo, son los clientes finales los que necesitan aplicarlo para protegerse.
Error de omisión de autenticación de Fortinet
Dado que se ocupa de la seguridad de la red, Fortinet a menudo está sujeto a riesgos de ataques cibernéticos. Por lo tanto, sugiere a sus usuarios parchear cualquier vulnerabilidad conocida en sus dispositivos para protegerse.
La última de tales advertencias ha sido sobre la CVE-2022-40684 – una falla de seguridad en los dispositivos FortiOS, FortiProxy y FortiSwitchManager de Fortinet que permite a los atacantes eludir la autenticación y hacer prácticamente lo que quieran con el sistema comprometido.
Los investigadores de seguridad de Horizon3.ai han publicado un exploit de prueba de concepto (POC) para este error después de prometer lanzar uno a finales de esta semana. El PoC incluso incluye un análisis técnico de la causa raíz de esta vulnerabilidad, lo que facilita la comprensión.
Otro aparato vulnerable…
CVE-2022-40684, que afecta a múltiples #Fortinet soluciones, es una omisión de autenticación que permite a los atacantes remotos interactuar con todos los puntos finales de la API de administración.
Publicación de blog y POC a finales de esta semana. Parche ahora. pic.twitter.com/YS7svIljAw
— Equipo de ataque de Horizon3 (@Horizon3Attack) 10 de octubre de 2022
Los atacantes que aprovechan este error pueden eludir el proceso de autenticación en la interfaz administrativa de Firewalls FortiGate, proxies web FortiProxy e instancias de administración local de FortiSwitch Manager (FSWM) y haz lo siguiente;
- Modificar las claves SSH de los usuarios administradores para permitir que el atacante inicie sesión en el sistema comprometido.
- Adición de nuevos usuarios locales.
- Actualización de configuraciones de red para redirigir el tráfico.
- Descargando la configuración del sistema.
- Iniciar capturas de paquetes para capturar otra información confidencial del sistema.
Aunque inicialmente se negó a comentar, Fortinet finalmente reveló que está al tanto de la explotación activa de este error en la naturaleza. Para verificar si su dispositivo Fortinet se ve afectado o no, verifique los registros de los dispositivos para user=” Local_Process_Access”, user_interface=” Node.js”, o user_interface=” Report Runner”.
Y si no eres capaz de aplicar un parche, Fortinet soluciones sugeridas de deshabilitar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP a través de una Política de entrada local de sus dispositivos.
Fortinet lanzó parches para este error el jueves pasado e instó a los clientes a aplicar con urgencia para mantenerse a salvo. Es tan grave que el CISA ha agregó el error de Fortinet a su lista de errores de seguridad y está obligando a todas las agencias del Poder Ejecutivo Federal Civil a parchear sus dispositivos antes del 1 de noviembre.
