Fortinet 认证绕过漏洞分析

关键要点

• 漏洞概述 ：Fortinet近期发现的认证绕过漏洞（CVE-2022-40684），已经被证实正在被恶意利用。
• 影响范围 ：所有使用FortiOS、FortiProxy或FortiSwitchManager的Fortinet设备均受影响。
• 应对措施 ：Fortinet已发布更新，建议尽快更新受影响的产品并限制访问权限。

上周发现的Fortinet认证绕过漏洞，已经在实际环境中得到了确认，并且已经被纳入。这一漏洞引发了不少研究博客的关注。

Fortinet在周一发布了，详细说明了安全团队如何检查其日志以查找可能的被攻击指标。同时，Horizon3.ai也在昨天发布了一篇同样讨论了这一话题。

根据Deep Instinct的竞争情报分析师JerrodPiker的解释，此次漏洞（）是针对大多数Fortinet解决方案的HTTP/S管理访问的脆弱性。他指出，任何部署了运行FortiOS、FortiProxy或FortiSwitchManager的Fortinet设备的组织，都应立即对此警报作出反应，尤其是当CVE-2022-40684在实际环境中已经被利用时更应如此。

Piker补充道，这个漏洞允许未经过身份验证的用户通过HTTP/S管理门户执行管理操作。这些操作可能包括但不限于：修改管理员SSH密钥以允许远程攻击者访问；创建新的本地用户；修改配置以重新路由流量；以及访问完整的系统配置。

Vulcan Cyber的高级技术工程师MikeParkin表示，安全产品中的漏洞总是一个问题，尤其是当它出现在边缘或网关设备上时。他指出：“虽然Fortinet已发布更新并提供避免风险的替代方案，但由于已有证据表明此漏洞已经在实际环境中被利用，使用受影响产品的任何人都应更加主动及时地更新，并至少根据行业最佳实践限制对这些设备的访问。”

Nucleus Security的解决方案架构师DavidFarquhar也发布了一篇关于此的，并指出Fortinet产品通常用于网络边缘，旨在保护网络。因此，Farquhar表示，他们实际上是组织希望保护管理接口的最后一处地方。

“理论上，你不应该让管理接口在互联网上可访问，”Farquhar说道。“不幸的是，有时候组织会暂时让该管理接口可访问，但又忘了关闭，这样就使其暴露在外。这也是为什么确保安全团队扫描所有公共地址空间，以及寻找那些不该存在的东西（如管理接口）非常重要的原因。”