Неприятная уязвимость в брандмауэрах Fortinet, злоупотребление прокси-серверами в реальных атаках

Fortinet исправила серьезную уязвимость в нескольких службах, которая позволяла злоумышленникам получать удаленный доступ и активно использовалась злоумышленниками.

В бюллетене по безопасности, опубликованном в конце прошлой недели, компания описала уязвимость как обход аутентификации в интерфейсе администратора, позволяющий неаутентифицированным лицам входить в брандмауэры FortiGate, FortiProxy web прокси и локальные экземпляры управления FortiSwitch Manager.

Уязвимость отслеживается как CVE-2022-40684.

Срочные дела

«Обход аутентификации с использованием уязвимости альтернативного пути или канала [CWE-288] в FortiOS, FortiProxy и FortiSwitchManager может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять операции в административном интерфейсе с помощью специально созданных запросов HTTP или HTTPS», — говорится в объявлении Fortinet.

Компания также сообщила, что исправление было выпущено в этот четверг, и добавила, что уведомила некоторых своих клиентов по электронной почте, призвав их отключить пользовательские интерфейсы удаленного управления «в крайнем случае».

Через пару дней после выпуска исправления компания опубликовала более подробную информацию, заявив, что обнаружила доказательства по крайней мере одной реальной кампании, использующей уязвимость:

«Fortinet известно об экземпляре где была использована эта уязвимость, и рекомендует немедленно проверить ваши системы по следующему индикатору компрометации в журналах устройства: user="Local_Process_Access", — говорится в сообщении компании.

Это продукты Fortinet, которые следует исправлено немедленно: