CVE-2022-40684-Erkennung: Eine kritische Fortinet-Authentifizierungsumgehungs-Schwachstelle, die in freier Wildbahn ausgenutzt wird
Inhaltsverzeichnis:
Achtung! Eine neue kritische Sicherheitslücke ist auf dem Radar. Fortinet hat kürzlich eine Authentifizierungsumgehungsschwachstelle in seinen FortiOS, FortiProxy und FortiSwitchManager Geräten bekannt gegeben. Die unter CVE-2022-40684 verfolgte Sicherheitslücke wird aktiv in freier Wildbahn ausgenutzt und stellt ein ernstes Risiko für Fortinets Kunden dar, die verwundbare Produktinstanzen nutzen.
Erkennung von Exploitversuchen gegen CVE-2022-40684
Angesichts der im Internet aktiv zirkulierenden Proof-of-Concept (PoC)-Exploits sind eine rechtzeitige Erkennung und proaktive Cyberabwehr entscheidend, um die Infrastruktur der Organisation vor aufkommenden Angriffen zu schützen. Um keinen Angriff unentdeckt zu lassen, kuratiert die Detection-as-Code-Plattform von SOC Prime eine Reihe dedizierter Sigma-Regeln, die von dem SOC Prime Team und unseren erfahrenen Threat-Bounty-Entwicklern entwickelt wurden Sittikorn Sangrattanapitak, Onur Atali, und Nattatorn Chuensangarun.
Die Erkennungen sind mit 18 SIEM-, EDR- und XDR-Lösungen kompatibel und sind mit dem MITRE ATT&CK®-Framework ausgerichtet, das den Initialzugriff, die laterale Bewegung und die Umgehung der Verteidigung adressiert, mit Exploit Public-Facing Applications (T1190), Exploitation of Remote Services (T1210) und Valid Accounts (T1078) als entsprechende Techniken.
Treten Sie unserem Threat Bounty Program bei, um Ihr Wissen über Sigma und ATT&CK zu monetarisieren und die Welt sicherer zu machen. Erhalten Sie Belohnungen für Bedrohungserkennungs-, Bedrohungsermittlungs- und Vorfallreaktionsalgorithmen, die auf unserer Detection-as-Code-Plattform eingereicht werden. Verbessern Sie Ihre praktischen Fähigkeiten und Ihr Fachwissen, sichtbar für die Cybersicherheitsgemeinschaft über unsere Autorenseite.
Klicken Sie auf die Schaltfläche Erkennungen erkunden , um sofortigen Zugriff auf Sigma-Regeln für CVE-2022-40684, entsprechende Bedrohungsaufklärungslinks, MITRE ATT&CK-Referenzen, Bedrohungsjagd-Ideen und Erkennungstechnikinstruktionen zu erhalten.
CVE-2022-40684 Analyse
Nur einen Monat nachdem ProxyNotShell laut in die Cyber-Bedrohungsarena eingetreten ist, sorgt eine neue kritische Sicherheitslücke in Fortinet-Produkten für Aufsehen, die eine erhebliche Bedrohung für 150.000 Kunden weltweit darstellt, die potenziell kompromittierte Software nutzen. Fortinet hat Sicherheitsupdates veröffentlicht, die Details zur aufgedeckten Sicherheitslücke, die Liste der betroffenen Produkte und Lösungen zur Minderung der Bedrohung umfassen. Die kritische Sicherheitslücke unter CVE-2022-40684 ermöglicht es Angreifern, sich als Administratoren im kompromittierten System von Fortinets FortiGate-Firewalls, FortiProxy-Web-Proxys und FortiSwitch Manager-Geräten anzumelden. Die gemeldete Sicherheitslücke wird aktiv in freier Wildbahn ausgenutzt.
Cybersicherheitsforscher haben kürzlich einen PoC-Exploit veröffentlicht, der nun öffentlich auf GitHub verfügbar ist, zusammen mit der technischen Ursachenanalyse der offengelegten Sicherheitslücke. Dieses PoC nutzt die kritische Fortinet-Auth-Bypass-Schwachstelle aus, um einen SSH-Schlüssel für den spezifischen Benutzer zu setzen. Laut der bereitgestellten Untersuchung können Angreifer nach Ausnutzung der Schwachstelle zur Umgehung der Authentifizierung bösartige Operationen an der Administrationsoberfläche durchführen, indem sie speziell generierte HTTP- oder HTTPS-Anfragen verwenden, einschließlich der Änderung von Netzwerkeinstellungen, dem Hinzufügen neuer Benutzer und dem Initiieren von Paketaufzeichnungen. Ähnlich wie bei anderen kürzlich offenbarten Sicherheitsmängeln in Unternehmenssoftware, wie F5 und VMware-Schwachstellen folgt der Exploit für CVE-2022-40684 einem gängigen Muster, bei dem HTTP-Header falsch validiert werden.
Nach der Offenlegung der Sicherheitslücke und der Beweise für die laufenden Angriffe in freier Wildbahn hat CISA auch CVE-2022-40684 in die Liste der bekannten ausgenutzten Sicherheitslücken aufgenommen, wobei erwähnt wird, dass die gemeldete Sicherheitslücke ein erhebliches Risiko für Bundesunternehmen darstellt.
Als Minderungsmaßnahmen und Sicherheitsumgehungen für die Behebung der Bedrohung empfiehlt der Fortinet-Berater, die HTTP/HTTPS-Admin-Oberfläche zu deaktivieren oder die IP-Adresse zu beschränken, die auf diese zugreifen kann. Den Kunden wird ebenfalls dringend empfohlen, ihre potenziell gefährdete Software auf die neuesten Versionen zu aktualisieren.
Aufgrund der wachsenden Zahl laufender Angriffe, die CVE-2022-40684 ausnutzen und bis zu 150.000 potenziell kompromittierte Fortinet-Geräte schweren Risiken aussetzen, ist eine zeitnahe Erkennung ein Muss. Erhalten Sie 700 Sigma-Regeln für alle bekannten Schwachstellen, um immer einen Schritt voraus zu sein! Greifen Sie sofort auf über 120 Regeln kostenlos zu oder erhalten Sie das gesamte Erkennungsstack mit On Demand unter https://my.socprime.com/pricing.
