FortiNet Administrative Authentication bypass
Deze liveblog bevat informatie over de FortiNet Administrative Authentication bypass. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 oktober 2022.
T-Update
Deze liveblog bevat informatie over de FortiNet Administrative Authentication bypass. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 oktober 2022.
Update 14 oktober 2022
11:00 | We hebben onze blog over de Fortinet Authenticatie Bypass (CVE-2022-40684) kwetsbaarheid bijgewerkt. Zoals verwacht is er een proof-of-concept exploit gepubliceerd door Horizon3. Met de publicatie van de proof-of-concept exploit code, neemt de kans op uitbuiting door kwaadaardige entiteiten toe. Daarom is het met klem te adviseren om de software update of workaround toe te passen.
De blog gepubliceerd door Horizon3 met betrekking tot de proof-of-concept exploit: https://www.horizon3.ai/fortios-fortiproxy-and-fortiswitchmanager-authentication-bypass-technical-deep-dive-cve-2022-40684/
Update 13 oktober 2022
17:00 | We hebben onze blog over de Fortinet authenticatie bypass kwetsbaarheid bijgewerkt. De kwetsbaarheid is geregistreerd als CVE-2022-40684 en betreft een authenticatie bypass kwetsbaarheid voor de beheerinterface van FortiOS, FortiProxy en FortiSwitchManager.
Fortinet heeft een public Security Advisory gepubliceerd, waarbij FortiSwitchManager is toegevoegd aan de lijst van kwetsbare producten. Daarnaast hebben Fortinet en IT-security bedrijf Horizon3 stappen gepubliceerd om uitbuiting van CVE-2022-40684 te detecteren. Om uitbuiting te detecteren, moet specifieke logging ingeschakeld zijn.
Update 07 oktober 2022
14:00 | Op 6 oktober 2022 heeft FortiNet een customer support bulletin uitgebracht waarin ze CVE-2022-40684 beschrijven. Dit betreft een authentication-bypass kwetsbaarheid in de beheerinterface van FortiOS en FortiProxy.
Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.
Momenteel is er nog weinig informatie beschikbaar over deze kwetsbaarheid. Deze blog wordt bijgewerkt zodra er meer informatie beschikbaar komt.
Achtergrond
Op 6 oktober 2022 heeft FortiNet een customer support bulletin uitgebracht waarin ze CVE-2022-40684 beschrijven. Dit betreft een authentication-bypass kwetsbaarheid in de beheerinterface van FortiOS en FortiProxy.
Risico
CVE-2022-40684 stelt een niet geauthentiseerde aanvaller in staat om acties uit te voeren op de beheerinterface via specifieke HTTP of HTTPS-verzoeken met behulp van een alternatief pad of kanaal.
Advies
Fortinet heeft FortiSwitchManager toegevoegd aan de lijst van kwetsbare producten. De volgende producten zijn volgens Fortinet kwetsbaar voor CVE-2022-40684:
- FortiGate – FortiOS versie 7.0.0 – 7.0.6 en 7.2.0 – 7.2.1
- FortiProxy – Versie 7.0.0 – 7.0.6 en 7.2.0
- FortiSwitchManager – Versie 7.0.0 en 7.2.0
Fortinet heeft updates beschikbaar gesteld die de kwetsbaarheid verhelpen voor de verschillende producten. Het advies is om de betreffende patch zo snel mogelijk te installeren:
- FortiGate upgrade naar versie 7.0.7 of 7.2.2
- FortiProxy upgrade naar versie 7.0.7 of 7.2.1
- FortiSwitchManager upgrade naar versie 7.2.1
Wanneer de patch niet geïnstalleerd kan worden, zijn er afhankelijk van het product twee workarounds beschikbaar:
- beperk de IP-adressen die de beheerinterface kunnen benaderen;
- schakel de beheerinterface uit.
Gedetailleerde instructies voor beide workarounds zijn beschikbaar in de Fortinet Security Advisory.
Zowel de Fortinet Security Advisory als de Horizon3 blog beschrijven stappen om uitbuiting van de kwetsbaarheid te detecteren. Dit vereist dat de REST API logging is ingeschakeld, wat met klem wordt geadviseerd. Wanneer de REST API logging reeds was ingeschakeld, ga dan na of er sporen aanwezig zijn die duiden op uitbuiting van de kwetsbaarheid. Deze sporen worden beschreven in zowel de Fortinet Security Advisory als de Horizon3 blog.
Bronnen
Meer informatie:
- Horizon3 blog – proof-of-concept exploit – https://www.horizon3.ai/fortios-fortiproxy-and-fortiswitchmanager-authentication-bypass-technical-deep-dive-cve-2022-40684/
- Proof-of-concept exploit code – https://github.com/horizon3ai/CVE-2022-40684
- Fortinet Security Advisory – https://www.fortiguard.com/psirt/FG-IR-22-377
- Horizon3 blog – https://www.horizon3.ai/fortinet-iocs-cve-2022-40684/
- NCSC Advies – https://advisories.ncsc.nl/advisory?id=NCSC-2022-0630
FortiNet release notes:
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
