Rilevamento CVE-2022-40684: Una Critica Vulnerabilità di Bypass dell’Autenticazione di Fortinet Sfruttata In Natura
Indice:
Attenzione! Una nuova vulnerabilità critica è all’orizzonte. Fortinet ha recentemente divulgato una vulnerabilità di bypass dell’autenticazione nei suoi dispositivi FortiOS, FortiProxy e FortiSwitchManager. Il difetto di sicurezza tracciato come CVE-2022-40684 è attivamente sfruttato in natura, rappresentando un rischio serio per i clienti Fortinet che utilizzano istanze di prodotto vulnerabili.
Rileva Tentativi di Sfruttamento CVE-2022-40684
Alla luce di exploit proof-of-concept (PoC) che circolano attivamente sul web, il rilevamento tempestivo e la difesa informatica proattiva sono fondamentali per proteggere l’infrastruttura organizzativa dagli attacchi emergenti. Per non lasciare alcuna possibilità agli attacchi di passare inosservati, la piattaforma Detection as Code di SOC Prime cura un lotto di regole Sigma dedicate sviluppate dal SOC Prime Team e dai nostri sviluppatori di Threat Bounty esperti. Sittikorn Sangrattanapitak, Onur Atali, e Nattatorn Chuensangarun.
Le rilevazioni sono compatibili con 18 soluzioni SIEM, EDR e XDR e sono allineate con il framework MITRE ATT&CK® affrontando l’Accesso Iniziale, Movimento Laterale e Evasione della Difesa, con Sfruttamento di Applicazioni ad Accesso Pubblico (T1190), Sfruttamento di Servizi Remoti (T1210) e Account Validi (T1078) come tecniche corrispondenti.
Unisciti al nostro Programma Threat Bounty per monetizzare le tue conoscenze su Sigma e ATT&CK mentre rendi il mondo un posto più sicuro. Ottieni ricompense per algoritmi di Rilevamento delle Minacce, Caccia alle Minacce e Risposta agli Incidenti inviati alla nostra piattaforma Detection as Code. Migliora le tue competenze e la tua esperienza, visibili alla comunità della sicurezza informatica tramite la nostra pagina dell’Autore.
Premi il pulsante Esplora Rilevazioni per accedere istantaneamente alle regole Sigma per CVE-2022-40684, link di intelligence sulle minacce corrispondenti, riferimenti MITRE ATT&CK, idee di caccia alle minacce e linee guida per l’ingegneria delle rilevazioni.
Analisi CVE-2022-40684
Solo un mese dopo che ProxyNotShell è entrato rumorosamente nell’arena delle minacce informatiche, una nuova vulnerabilità critica di sicurezza nei prodotti Fortinet provoca scompiglio, rappresentando una minaccia significativa per 150.000 clienti in tutto il mondo che utilizzano software potenzialmente compromesso. Fortinet ha rilasciato aggiornamenti di sicurezza che coprono i dettagli della vulnerabilità rivelata, l’elenco dei prodotti interessati e le soluzioni per mitigare la minaccia. La vulnerabilità critica tracciata come CVE-2022-40684 consente agli attori delle minacce di accedere come amministratori sul sistema compromesso dei firewall FortiGate di Fortinet, dei proxy web FortiProxy e dei dispositivi FortiSwitch Manager. La vulnerabilità segnalata è attivamente sfruttata in natura.
I ricercatori di sicurezza informatica hanno recentemente rilasciato un exploit PoC ora disponibile pubblicamente su GitHub insieme all’analisi tecnica della causa radice del difetto di sicurezza divulgato. Questo POC sfrutta il bug critico di bypass dell’autenticazione di Fortinet per impostare una chiave SSH per l’utente specifico. Secondo l’indagine fornita, dopo aver sfruttato la vulnerabilità per bypassare l’autenticazione, gli attaccanti possono eseguire operazioni dannose sull’interfaccia amministrativa utilizzando richieste HTTP o HTTPS generate specificamente, incluso modificare le impostazioni di rete, aggiungere nuovi utenti e avviare acquisizioni di pacchetti. Come per altri difetti di sicurezza del software aziendale di recente rivelazione, come le vulnerabilità di F5 e VMware, l’exploit per CVE-2022-40684 segue un modello comune in cui le intestazioni HTTP sono convalidate in modo errato.
Dopo la divulgazione della vulnerabilità e l’evidenza degli attacchi in corso in natura, anche CISA ha aggiunto CVE-2022-40684 all’elenco del Catalogo delle Vulnerabilità Sfruttate Conosciute, menzionando che il difetto di sicurezza segnalato rappresenta rischi significativi per le imprese federali.
Come misure di mitigazione e soluzioni di sicurezza per rimedio alla minaccia, il consiglio Fortinet raccomanda di disabilitare l’interfaccia admin HTTP/HTTPS o di limitare l’indirizzo IP che può accedere a quest’ultima. Si raccomanda inoltre vivamente ai clienti di aggiornare il loro software potenzialmente vulnerabile alle versioni più recenti.
A causa del crescente numero di attacchi in corso che sfruttano CVE-2022-40684 e espongono fino a 150.000 dispositivi Fortinet potenzialmente compromessi a rischi gravi, il rilevamento tempestivo è un must. Ottieni 700 regole Sigma per tutte le vulnerabilità conosciute per rimanere sempre avanti agli attaccanti! Raggiungi istantaneamente 120+ regole gratuitamente o ottieni l’intero stack di rilevamento su Richiesta su https://my.socprime.com/pricing.
