CVE-2022-40684 Vulnerabilities Fortinet : Mio dio!

30 Novembre 20227 Dicembre 2022 Giovanni Popolizio authentication bypass, CVE-2022-40684, CVEs, cybercrime, Dark web, exploits, fortinet, FortiOS, FortiProxy, FortiSwitchManager, vulnerability

CVE-2022-40684 Vulnerabilities

CVE-2022-40684 Vulnerabilities . Già ho affrontato questa vulnerabilità in uno dei post precedenti, ma ad oggi si registrano ancora numerosi attacchi andati a buon fine. Più di attacchi si tratta di un bussa e apri. Ma gli aggiornamenti distribuiti da Fortinet si installano con successo ? Servono ? Iniziano a sorgere seri dubbi.

“CVE-2022-40684 Detail

Current Description

An authentication bypass using an alternate path or channel [CWE-288] in Fortinet FortiOS version 7.2.0 through 7.2.1 and 7.0.0 through 7.0.6, FortiProxy version 7.2.0 and version 7.0.0 through 7.0.6 and FortiSwitchManager version 7.2.0 and 7.0.0 allows an unauthenticated atttacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests.”

Gli aggressori stanno abusando di una vulnerabilità critica di bypass dell’autenticazione, classificata come CVE-2022-40684, con un punteggio CVSS di 9,6, in diverse versioni dei prodotti Fortinet, tra cui FortiOS, FortiProxy e FortiSwitchManager.

Ultime scoperte

Secondo i ricercatori di Cyble, la vulnerabilità riguarda FortiOS dalla versione 7.2.0 alla 7.2.1, FortiOS dalla versione 7.0.0 alla 7.0.6, FortiProxy dalla versione 7.2.0, FortiProxy dalla versione 7.0.0 alla 7.0.6, FortiSwitchManager dalla versione 7.2.0 e FortiSwitchManager dalla versione 7.0.0.
Abusando della vulnerabilità, un utente malintenzionato può modificare le chiavi SSH di amministrazione per accedere al sistema compromesso, aggiungere nuovi utenti locali, aggiornare le configurazioni di rete per reindirizzare il traffico e scaricare la configurazione del sistema.
Inoltre, la vulnerabilità consente a un utente non autenticato di ottenere l’accesso completo al sistema in questione, di eseguire operazioni sull’interfaccia amministrativa tramite richieste HTTP o HTTPS appositamente create e di interagire con tutti gli endpoint API di gestione.
Con la base e le conoscenze acquisite, l’aggressore potrebbe lanciare altri attacchi contro il resto dell’ambiente IT.

Cronologia della vulnerabilità

All’inizio di ottobre, Fortinet ha reso nota la vulnerabilità e ha invitato i clienti a eseguire immediatamente un aggiornamento del software. In seguito, ha inviato una notifica via e-mail ai clienti selezionati, fornendo un avviso riservato e consigli per la mitigazione.
A metà ottobre, il CISA ha aggiunto la vulnerabilità al suo Known Exploited Vulnerabilities Catalog. Diversi blog tecnici e POC sono stati resi di dominio pubblico e lo sfruttamento attivo è iniziato dopo l’intensificarsi degli attacchi.

I ricercatori hanno scoperto che ci sono oltre centomila firewall FortiGate esposti su Internet che probabilmente sono nel mirino degli aggressori e sono esposti alla vulnerabilità.
Inoltre, l’accesso a FortiOS per diversi enti pubblici e privati è stato distribuito sui forum russi di criminalità informatica a partire da ottobre.

La vera cronologia.

Da Cyble.com ….

“Timeline Of Event

October 6: Issued email notification to the primary account owners of all potentially affected devices.

10: Vendor issued Vulnerability advisory

Horizon3 Researchers tweeted about the vulnerability

11: CISA adds Fortinet (CVE-2022-40684) vulnerability in its “Known Exploited Vulnerabilities Catalog”

October 13: Technical Blog and POC released in public domain/ Active exploitation starts

November 17: FortiOS VPN access being sold on cybercrime forum.

Darkweb And Cyber Crime Activities

While during routine monitoring, researchers at Cyble observed a Threat Actor (TA) distributing multiple unauthorized Fortinet VPN access over one of the Russian cybercrime forums, as shown in the figure below.

FortiOS-access-being-distributed-over-Russian-Cybercrime-forums

Conclusion

The authentication bypass vulnerability in Fortinet products allows an unauthenticated attacker to perform operations on the administrative interface. With large numbers of exposed assets that belong to private-public entities exposed over the internet, the vulnerability falls under the critical category.

Publicly distributed Proof of Concepts (POCs) and automation tools have made it more convenient for attackers to target victim organizations within a few days of the announcement of the new CVE. If security teams within the organization do not implement the patches and workarounds released by an official vendor, the risk of a successful cyber-attack increases exponentially.

Threat Actors (TA) are actively distributing access and leaks over darkweb and cybercrime forums by exploiting the known, and new vulnerabilities, the initial access distributed over darkweb has been key behind some of the major attacks recently. Darkweb and cybercrime forum monitoring can be considered critical pillars within an organization’s security posture.

Cyble actively investigates the latest CVEs, alerts, exploits, IABs, sensitive intelligence, etc., over the Surface web, Deep web, and Dark web, along with its network of Global Sensor Intelligence (GSI), which provides early intelligence that allows organizations to safeguard critical assets.”

CVE-2022-40684 Vulnerabilities ? Un portone sempre aperto!