CVE-2022-40684 Détection : Une Vulnérabilité Critique de Contournement d’Authentification Fortinet Exploitée en Sauvage
Table des matières :
Attention ! Une nouvelle vulnérabilité critique est à l’horizon. Fortinet a récemment divulgué une vulnérabilité de contournement d’authentification dans ses appareils FortiOS, FortiProxy et FortiSwitchManager. La faille de sécurité, identifiée comme CVE-2022-40684, est activement exploitée dans la nature, posant un risque sérieux pour les clients de Fortinet utilisant des instances de produits vulnérables.
Détecter les tentatives d’exploitation de CVE-2022-40684
Compte tenu des exploits de proof-of-concept (PoC) circulant activement sur le web, la détection en temps opportun et une défense cybernétique proactive sont essentielles pour protéger l’infrastructure organisationnelle contre les attaques émergentes. Pour ne laisser aucune chance aux attaques de passer inaperçues, la plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma dédiées développées par l’équipe SOC Prime et nos développeurs expérimentés Threat Bounty Sittikorn Sangrattanapitak, Onur Atali, et Nattatorn Chuensangarun.
Les détections sont compatibles avec 18 solutions SIEM, EDR et XDR et sont alignées avec le cadre MITRE ATT&CK® abordant l’Accès initial, le Déplacement latéral et l’Évasion de défense, avec les applications exploitables orientées vers le public (T1190), l’exploitation des services distants (T1210) et les comptes valides (T1078) comme techniques correspondantes.
Rejoignez notre Programme Threat Bounty pour monétiser votre savoir-faire Sigma et ATT&CK tout en rendant le monde plus sûr. Obtenez des récompenses pour les algorithmes de détection de menaces, de chasse aux menaces et de réponse aux incidents soumis à notre plateforme Detection as Code. Améliorez vos compétences techniques et votre expertise, visibles par la communauté de la cybersécurité via notre page Auteur.
Appuyez sur le bouton Explorer les détections pour accéder instantanément aux règles Sigma pour CVE-2022-40684, aux liens de renseignement sur les menaces correspondants, aux références MITRE ATT&CK, aux idées de chasse aux menaces et aux conseils en ingénierie de détection.
Analyse de CVE-2022-40684
Juste un mois après que ProxyNotShell a bruyamment fait son entrée sur la scène des menaces cyber, une nouvelle vulnérabilité critique de sécurité dans les produits de Fortinet fait des vagues, posant une menace significative pour 150 000 clients à travers le monde utilisant potentiellement des logiciels compromis. Fortinet a publié des mises à jour de sécurité couvrant les détails de la vulnérabilité révélée, la liste des produits affectés et des solutions pour atténuer la menace. La vulnérabilité critique identifiée comme CVE-2022-40684 permet aux acteurs malveillants de se connecter en tant qu’administrateurs sur le système compromis des pare-feu FortiGate, des mandataires web FortiProxy et des dispositifs FortiSwitch Manager. La vulnérabilité signalée est activement exploitée dans la nature.
Des chercheurs en cybersécurité ont récemment publié un exploit PoC désormais disponible sur GitHub avec l’analyse technique des causes fondamentales de la faille de sécurité divulguée. Ce PoC exploite le bug critique de contournement d’authentification de Fortinet pour définir une clé SSH pour un utilisateur spécifique. Selon l’enquête fournie, après avoir exploité la vulnérabilité pour contourner l’authentification, les attaquants peuvent réaliser des opérations malveillantes sur l’interface administrative en utilisant des requêtes HTTP ou HTTPS spécifiquement générées, notamment modifier les paramètres réseau, ajouter de nouveaux utilisateurs et initier des captures de paquets. De même que d’autres failles de sécurité récemment révélées dans les logiciels d’entreprise, comme F5 et les vulnérabilités VMware, l’exploit pour CVE-2022-40684 suit un schéma commun où les en-têtes HTTP sont mal validés.
Après la divulgation de la vulnérabilité et des preuves des attaques en cours dans la nature, le CISA a également ajouté CVE-2022-40684 à la liste du catalogue des vulnérabilités exploitées connues, mentionnant que la faille de sécurité signalée pose des risques importants pour les entreprises fédérales.
En tant que mesures d’atténuation et solutions de contournement de sécurité pour remédier à la menace, le conseil de Fortinet recommande de désactiver l’interface d’administration HTTP/HTTPS ou de limiter l’adresse IP pouvant y accéder. Il est également fortement recommandé aux clients de mettre à jour leur logiciel potentiellement vulnérable vers les versions les plus récentes.
En raison du nombre croissant d’attaques en cours exploitant CVE-2022-40684 et exposant jusqu’à 150 000 appareils Fortinet potentiellement compromis à des risques graves, une détection en temps opportun est primordiale. Obtenez 700 règles Sigma pour toutes les vulnérabilités connues pour toujours rester en avance sur les attaquants ! Accédez instantanément à 120+ règles gratuitement ou obtenez l’ensemble complet d’outils de détection à la demande sur https://my.socprime.com/pricing.
