Detecção CVE-2022-40684: Uma Vulnerabilidade Crítica de Bypass de Autenticação da Fortinet Exploradano Meio
Índice:
Atenção! Uma nova vulnerabilidade crítica está no radar. A Fortinet divulgou recentemente uma vulnerabilidade de bypass de autenticação em seus dispositivos FortiOS, FortiProxy e FortiSwitchManager. A falha de segurança rastreada como CVE-2022-40684 está sendo ativamente explorada no campo, representando um risco sério para os clientes da Fortinet que utilizam instâncias de produtos vulneráveis.
Detectar Tentativas de Exploração da CVE-2022-40684
Diante das explorações de prova de conceito (PoC) circulando ativamente pela web, a detecção oportuna e a defesa cibernética proativa são críticas para proteger a infraestrutura organizacional contra ataques emergentes. Para não deixar chance para que ataques passem despercebidos, a plataforma Detection as Code da SOC Prime organiza um lote de regras Sigma dedicadas desenvolvidas pela Equipe SOC Prime e nossos experientes desenvolvedores Threat Bounty Sittikorn Sangrattanapitak, Onur Atali, e Nattatorn Chuensangarun.
As detecções são compatíveis com 18 soluções SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® abordando o Acesso Inicial, Movimento Lateral e Evasão de Defesa, com as técnicas de Explorar Aplicações Expostas (T1190), Exploração de Serviços Remotos (T1210) e Contas Válidas (T1078) correspondentes.
Junte-se ao nosso Programa Threat Bounty para monetizar seu conhecimento em Sigma e ATT&CK enquanto torna o mundo um lugar mais seguro. Receba recompensas por algoritmos de Detecção de Ameaças, Caça a Ameaças e Resposta a Incidentes enviados para nossa plataforma Detection as Code. Aprimore suas habilidades e expertise, visível à comunidade de cibersegurança através da nossa página do Autor.
Clique no botão Explore Detecções para acessar instantaneamente regras Sigma para CVE-2022-40684, links de inteligência de ameaças correspondentes, referências MITRE ATT&CK, ideias de caça a ameaças e orientações de engenharia de detecção.
Análise da CVE-2022-40684
Apenas um mês após ProxyNotShell entrar ruidosamente na arena das ameaças cibernéticas, uma nova vulnerabilidade crítica de segurança nos produtos da Fortinet causa alvoroço, representando uma ameaça significativa para 150.000 clientes em todo o mundo que utilizam softwares potencialmente comprometidos. A Fortinet lançou atualizações de segurança cobrindo os detalhes da vulnerabilidade revelada, a lista de produtos afetados e soluções para mitigar a ameaça. A vulnerabilidade crítica rastreada como CVE-2022-40684 permite que atores da ameaça façam login como administradores no sistema comprometido de firewalls FortiGate, proxies web FortiProxy e dispositivos FortiSwitch Manager da Fortinet. A vulnerabilidade relatada está sendo ativamente explorada no campo.
Pesquisadores de cibersegurança lançaram recentemente um exploit PoC agora disponível publicamente no GitHub junto com a análise da causa raiz técnica da falha de segurança divulgada. Este PoC utiliza o bug crítico de bypass de autenticação da Fortinet para definir uma chave SSH para o usuário específico. De acordo com a investigação fornecida, após explorar a vulnerabilidade para ignorar a autenticação, os atacantes podem realizar operações maliciosas na interface administrativa usando solicitações HTTP ou HTTPS especificamente geradas, incluindo modificar configurações de rede, adicionar novos usuários e iniciar capturas de pacotes. Semelhante a outras falhas de segurança de software empresarial recentemente reveladas, como F5 e vulnerabilidades do VMware, o exploit para CVE-2022-40684 segue um padrão comum onde os cabeçalhos HTTP são validados incorretamente.
Após a divulgação da vulnerabilidade e evidências de ataques em andamento, a CISA também adicionou a CVE-2022-40684 à lista de Catálogo de Vulnerabilidades Exploradas Conhecidas, mencionando que a falha de segurança relatada representa riscos significativos para empresas federais.
Como medidas de mitigação e soluções de segurança para remediar a ameaça, o conselho da Fortinet recomenda desativar a interface de administração HTTP/HTTPS ou limitar o endereço IP que pode acessá-la. Os clientes também são altamente recomendados a atualizar seu software potencialmente vulnerável para as versões mais recentes.
Devido ao crescente número de ataques em andamento explorando a CVE-2022-40684 e expondo até 150.000 dispositivos Fortinet potencialmente comprometidos a riscos graves, a detecção oportuna é imprescindível. Obtenha 700 regras Sigma para todas as vulnerabilidades conhecidas para sempre estar à frente dos invasores! Acesse instantaneamente 120+ regras gratuitamente ou obtenha todo o conjunto de detecção com On Demand em https://my.socprime.com/pricing.
