Detección de CVE-2022-40684: Una Vulnerabilidad Crítica de Omisión de Autenticación en Fortinet Explotada en la Naturaleza
Tabla de contenidos:
¡Atención! Una nueva vulnerabilidad crítica está en el radar. Fortinet ha divulgado recientemente una vulnerabilidad de omisión de autenticación en sus dispositivos FortiOS, FortiProxy y FortiSwitchManager. La falla de seguridad, rastreada como CVE-2022-40684, está siendo explotada activamente en el entorno, representando un riesgo serio para los clientes de Fortinet que utilizan instancias de productos vulnerables.
Detectar intentos de explotación de CVE-2022-40684
En vista de los exploits de prueba de concepto (PoC) que circulan activamente en la web, la detección oportuna y la defensa cibernética proactiva son críticas para proteger la infraestructura organizacional contra ataques emergentes. Para no dejar pasar ningún ataque indetectado, la Plataforma de Detección como Código de SOC Prime crea un lote de reglas Sigma dedicadas, desarrolladas por el equipo de SOC Prime y nuestros experimentados desarrolladores de Threat Bounty Sittikorn Sangrattanapitak, Onur Atali, y Nattatorn Chuensangarun.
Las detecciones son compatibles con 18 soluciones SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® abordando el Acceso Inicial, Movimiento Lateral y Evasión de la Defensa, con Explotación de Aplicaciones Públicas en Cara (T1190), Explotación de Servicios Remotos (T1210) y Cuentas Válidas (T1078) como técnicas correspondientes.
Únete a nuestro Programa Threat Bounty para monetizar tu conocimiento de Sigma y ATT&CK mientras haces del mundo un lugar más seguro. Obtén recompensas por algoritmos de Detección de Amenazas, Caza de Amenazas y Respuesta a Incidencias enviados a nuestra plataforma de Detección como Código. Mejora tus habilidades y experiencia, visibles para la comunidad de ciberseguridad a través de nuestra página de Autor.
Haz clic en el botón Explorar Detecciones para acceder instantáneamente a las reglas Sigma para CVE-2022-40684, enlaces de inteligencia de amenazas correspondientes, referencias MITRE ATT&CK, ideas de caza de amenazas y guía de ingeniería de detección.
Análisis de CVE-2022-40684
Justo un mes después de que ProxyNotShell entrara ruidosamente en la arena de amenazas cibernéticas, una nueva vulnerabilidad crítica de seguridad en los productos de Fortinet causa revuelo, representando una amenaza significativa para 150,000 clientes en todo el mundo usando software potencialmente comprometido. Fortinet ha lanzado actualizaciones de seguridad cubriendo los detalles de la vulnerabilidad revelada, la lista de productos afectados y soluciones para mitigar la amenaza. La vulnerabilidad crítica, rastreada como CVE-2022-40684, permite a los actores de amenazas iniciar sesión como administradores en el sistema comprometido de los cortafuegos FortiGate de Fortinet, proxies web FortiProxy y dispositivos FortiSwitch Manager. La vulnerabilidad reportada está siendo explotada activamente en el entorno.
Investigadores de ciberseguridad han lanzado recientemente un exploit PoC ahora disponible públicamente en GitHub junto con el análisis técnico de la causa raíz de la falla de seguridad divulgada. Este POC aprovecha el error crítico de omisión de autenticación de Fortinet para establecer una clave SSH para el usuario específico. Según la investigación proporcionada, después de explotar la vulnerabilidad para eludir la autenticación, los atacantes pueden llevar a cabo operaciones maliciosas en la interfaz administrativa usando solicitudes HTTP o HTTPS específicamente generadas, incluyendo modificar configuraciones de red, agregar nuevos usuarios e iniciar capturas de paquetes. Al igual que con otras fallas de seguridad recién reveladas en software empresarial, como F5 y vulnerabilidades de VMware, el exploit para CVE-2022-40684 sigue un patrón común donde los encabezados HTTP no se validan correctamente.
Después de la divulgación de la vulnerabilidad y la evidencia de los ataques en curso en el entorno, CISA también ha añadido CVE-2022-40684 a la lista de Catálogo de Vulnerabilidades Explotadas Conocidas, mencionando que la falla de seguridad reportada representa riesgos significativos para las empresas federales.
Como medidas de mitigación y alternativas de seguridad para remediar la amenaza, el aviso de Fortinet recomienda deshabilitar la interfaz de administración HTTP/HTTPS o limitar la dirección IP que puede acceder a esta última. También se recomienda encarecidamente a los clientes actualizar su software potencialmente vulnerable a las versiones más recientes.
Debido al creciente número de ataques en curso que explotan CVE-2022-40684 y exponen hasta 150,000 dispositivos Fortinet potencialmente comprometidos a riesgos severos, la detección oportuna es un deber. ¡Obtén 700 reglas Sigma para todas las vulnerabilidades conocidas para estar siempre un paso adelante de los atacantes! Accede instantáneamente a 120+ reglas gratis o consigue todo el paquete de detección con On Demand en https://my.socprime.com/pricing.
