Canal de Telegram

7 oct 2022

Segu-Info » , » Vulnerabilidad crítica en Fortinet (CVE-2022-40684). Actualiza YA!

Vulnerabilidad crítica en Fortinet (CVE-2022-40684). Actualiza YA!

7 oct 2022, 4:17:00 p.m.   Comenta primero!
  ,  

Fortinet ha advertido a los administradores que actualicen los firewalls FortiGate y los servidores proxy web FortiProxy a las últimas versiones, que abordan una vulnerabilidad de gravedad crítica.

La falla de seguridad (rastreada como CVE-2022-40684) es una omisión de autenticación en la interfaz administrativa que podría permitir que los actores de amenazas remotos inicien sesión en dispositivos sin parches.

"Una omisión de autenticación utilizando una ruta o canal alternativo [CWE-88] en FortiOS y FortiProxy puede permitir que un atacante no autenticado realice operaciones en la interfaz administrativa a través de solicitudes HTTP o HTTPS especialmente diseñadas", explica Fortinet en un boletín de atención al cliente emitido hoy.

"Esta es una vulnerabilidad crítica (CVSS 9.6) y debe tratarse con la máxima urgencia", agrega la compañía.

Fortinet también envió correos electrónicos a los clientes y les aconsejó que actualicen a las últimas versiones disponibles de inmediato. "Debido a la capacidad de explotar este problema de forma remota, Fortinet recomienda enfáticamente a todos los clientes con las versiones vulnerables que realicen una actualización inmediata".

Para verificar si alguien ya explotó esta vulnerabilidad se recomienda validar contra el siguiente indicador de compromiso (IoC) en los registros del dispositivo: user="local_process_access".

Exploit

Aquí hay una descripción general de las condiciones necesarias de una solicitud para explotar esta vulnerabilidad:

  • Usando el encabezado "Fowarded", un atacante puede establecer client_ip en "127.0.0.1".
  • La verificación de autenticación de "acceso confiable" verifica que client_ip sea "127.0.0.1" y que el "User-Agent" sea "Report Runner", los cuales están bajo el control del atacante.
Horizon explicó el funcionamiento interno de esta vulnerabilidad y publicó una PoC. La vulnerabilidad se usa para agregar una clave SSH al usuario administrador, lo que permite que un atacante acceda a través de SSH al sistema afectado como administrador. 
PUT /api/v2/cmdb/system/admin/admin
  HTTP/1.1 Host: 10.0.40.67
  User-Agent: Report Runner Content-Type: application/json
  Forwarded: for="[127.0.0.1]:8000";by="[127.0.0.1]:9000";
  Content-Length: 612 { "ssh-public-key1": "\"ssh-rsa AAAAB3NzaC1yc2EAA...58= [email protected]\"" }

    Cualquier solicitud HTTP a la interfaz de administración del sistema que coincida con las condiciones anteriores debe ser motivo de preocupación. Un atacante puede usar esta vulnerabilidad para hacer casi cualquier cosa que quiera con el sistema vulnerable. Esto incluye cambiar las configuraciones de red, agregar nuevos usuarios e iniciar capturas de paquetes. Tenga en cuenta que esta no es la única forma de explotar esta vulnerabilidad y puede haber otros conjuntos de condiciones que funcionen. Por ejemplo, una versión modificada de este exploit utiliza el User-Agent "Node.js".

    Este exploit parece seguir una tendencia entre las vulnerabilidades de software empresarial descubiertas recientemente donde los encabezados HTTP se validan incorrectamente o son demasiado confiables. Hemos visto esto en vulnerabilidades recientes de F5 y VMware.

    Equipos vulnerables

    Según una búsqueda de Shodan, se puede acceder a más de 140.000 firewalls FortiGate desde Internet, aunque se desconoce si sus interfaces de administración también están expuestas.

    La lista completa de productos vulnerables incluye:

    • FortiOS: 7.0.0 – 7.0.67.2.0 – 7.2.1 - Actualizar a 7.0.77.2.2
    • FortiProxy: 7.0.0 – 7.0.67.2.0 - Actualizar a 7.0.77.2.1

    Según el boletín de atención al cliente de hoy, Fortinet lanzó parches de seguridad el jueves, pidiendo a los clientes que actualicen los dispositivos vulnerables a las versiones 7.0.7 o 7.2.2 de FortiOS/FortiProxy.

    La empresa también proporciona una solución alternativa para aquellos que no pueden implementar actualizaciones de seguridad de inmediato. Para evitar que los atacantes remotos eludan la autenticación e inicien sesión en implementaciones vulnerables de FortiGate y FortiProxy, los clientes deben limitar las direcciones IP que pueden llegar a la interfaz administrativa mediante una política local.

    Como soluciones temporales, la compañía recomienda a los usuarios que desactiven la administración HTTPS orientada a Internet hasta que se puedan implementar las actualizaciones o, alternativamente, aplicar una política de firewall para el "local-in traffic".

    Un portavoz de Fortinet se negó a comentar cuando se le preguntó si la vulnerabilidad se explota activamente en la naturaleza e insinuó que la empresa compartiría más información en los próximos días. "Las comunicaciones con los clientes a menudo detallan la orientación más actualizada y los próximos pasos recomendados para proteger y asegurar mejor su organización", dijo el portavoz de Fortinet.

    Fuente: BC

    Suscríbete a nuestro Boletín

    0 Comments:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info.

    Gracias por comentar!