CVE-2022-40684 Detection: A Critical Fortinet Authentication Bypass Vulnerability Exploited in the Wild

お知らせです！新たな重大な脆弱性が注目されています。Fortinetは、FortiOS、FortiProxy、およびFortiSwitchManagerアプライアンスにおける認証バイパス脆弱性を最近公表しました。CVE-2022-40684として追跡されているこのセキュリティ欠陥は、野放しで活発に悪用されており、脆弱な製品インスタンスを利用しているFortinetの顧客に深刻なリスクをもたらしています。

CVE-2022-40684 の攻撃試行を検出する

Web上でPoC（概念実証）のエクスプロイトが活発に流通していることを踏まえ、組織のインフラストラクチャを新たな攻撃から保護するためには、タイムリーな検出と積極的なサイバー防衛が重要です。攻撃を検出せずに放置することの無いよう、SOC PrimeのDetection as Codeプラットフォームでは、SOC Primeチームおよび経験豊富な脅威バウンティ開発者によって開発された専用のSigmaルールのバッチをキュレーションします。 Sittikorn Sangrattanapitak, Onur Atali、 Nattatorn Chuensangarun.

これらの検出は、18のSIEM、EDR、およびXDRソリューションと互換性があり、 MITRE ATT&CK®フレームワーク に合わせて、初期アクセス、横展開、および防御回避に取り組んでおり、公開されているアプリケーションのエクスプロイト（T1190）、リモートサービスのエクスプロイト（T1210）、および正当なアカウント（T1078）を対応する技術として扱います。

私たちの 脅威バウンティプログラム に参加して、SigmaやATT&CKの知識を現金化し、より安全な世界を作りましょう。私たちのDetection as Codeプラットフォームに提出された脅威検出、脅威追跡、インシデント対応アルゴリズムに対する報酬を獲得できます。著者ページを通じて、サイバーセキュリティコミュニティに見える形でハードスキルと専門知識を向上させましょう。 

「 検出を探索」 ボタンを押して、CVE-2022-40684のSigmaルール、対応する脅威インテリジェンスリンク、MITRE ATT&CKリファレンス、脅威ハンティングのアイデア、検出エンジニアリングのガイダンスに即座にアクセスしましょう。

検出を探索」

CVE-2022-40684の分析 

、 ProxyNotShell がサイバー脅威の舞台に大々的に登場してからわずか1か月後、Fortinetの製品における新しい重大なセキュリティ脆弱性が、潜在的に危険性のあるソフトウェアを活用する世界中の150,000人の顧客にとって大きな脅威を生んでいます。Fortinetは セキュリティアップデート を発表し、明らかにされた脆弱性の詳細、影響を受ける製品のリスト、および脅威を軽減するための解決策をカバーしています。CVE-2022-40684として追跡されている重大な脆弱性により、脅威アクターはFortinetのFortiGateファイアウォール、FortiProxyウェブプロキシ、およびFortiSwitch Managerデバイスのシステム上で管理者としてログインできるようになります。この報告された脆弱性は野外で活発に悪用されています。 

サイバーセキュリティ研究者は最近、 PoC（概念実証）エクスプロイト をGitHubで公に利用可能にしました。このPOCは、公開されたセキュリティ欠陥の技術的な根本原因の分析とともに提供されています。このPOCは、重大なFortinetの認証バイパスのバグを活用して特定のユーザー用のSSHキーを設定します。提供された調査によれば、認証をバイパスするために脆弱性を悪用した後、攻撃者は特定のHTTPまたはHTTPSリクエストを使用して管理インターフェース上で悪意のある操作を実行でき、ネットワーク設定の修正、新しいユーザーの追加、パケットキャプチャの開始を含みます。他の新たに明らかになった企業ソフトウェアのセキュリティ欠陥、例えば F5 およびVMwareの脆弱性と同様に、CVE-2022-40684のエクスプロイトは、HTTPヘッダーが誤って検証される一般的なパターンに従います。 

脆弱性の公開および野外での攻撃の証拠後、CISAもまたCVE-2022-40684を 既知の攻撃された脆弱性のカタログに追加しました。この報告されたセキュリティ欠陥が連邦企業にとって重大なリスクをもたらすと述べています。

脅威を緩和するための緩和策とセキュリティ回避策として、FortinetのアドバイザリーはHTTP/HTTPS管理インターフェースの無効化またはそれにアクセスできるIPアドレスの制限を推奨しています。また、顧客は脆弱である可能性のあるソフトウェアを最新のバージョンにアップグレードすることを強く推奨されています。 

CVE-2022-40684を悪用する攻撃の増加と、それによって最大150,000台の潜在的に危険にさらされたFortinetデバイスが深刻なリスクにさらされることから、タイムリーな検出が必須です。攻撃者に常に先んじるために、すべての既知の脆弱性に対する700のSigmaルールを入手しましょう！ 即座に 120+のルールを無料で利用 またはオンデマンドで検出スタック全体を https://my.socprime.com/pricing.