Falha crítica explorada para contornar produtos Fortinet e comprometer organizações.

A falha é rastreada como CVE-2022-40684 no FortiOS, enquanto sua exploração está sendo vendida em um popular fórum de hackers russos.

Durante o monitoramento de rotina, o Global Sensor Intelligence (GIS) da Cyble descobriu que um agente de ameaças está distribuindo acesso não autorizado a várias VPNs Fortinet em um fórum de cibercrime russo.

Ao avaliar o acesso, os pesquisadores perceberam que o invasor estava tentando adicionar uma nova chave pública à conta do usuário administrador. Uma investigação mais aprofundada revelou que as organizações visadas usavam software FortiOS desatualizado.

Isso indicava que o invasor estava gerenciando o desvio de autenticação explorando um canal ou uma falha de caminho alternativo rastreada como CVE-2022-40684 no FortiOS. Essa falha de bypass de autenticação permite que um invasor não autorizado/não autenticado explore a interface administrativa.

Produtos afetados e versões de firmware

De acordo com a pesquisa da Cyble publicada em 24 de novembro de 2022, várias versões do Fortinet são afetadas por essa falha, incluindo FortiOS, FortiProxy e FortiSwitchManager. A vulnerabilidade permite que um invasor execute operações na “interface administrativa” por meio de solicitações HTTPS ou HTTP especialmente criadas, leu o comunicado do Cyble .

Conforme visto pelo Hackread.com, outro agente de ameaças no mesmo fórum de hackers russos está oferecendo o mesmo exploit Fortinet VPN. Em uma lista publicada hoje, o agente da ameaça citou a pesquisa do Censys que mostrou que existem mais de 400.000 dispositivos expostos.

De acordo com os pesquisadores da Cyble, a seguir estão as versões impactadas do FortinetOS.

1. FortiProxy versão 7.2.0
2. FortiSwitchManager versão 7.2.0
3. FortiSwitchManager versão 7.0.0
4. FortiOS versão 7.0.0 a 7.0.6
5. FortiOS versão 7.2.0 a 7.2.1
6. FortiProxy versão 7.0.0 a 7.0.6

Detalhes da vulnerabilidade

A pesquisa revelou que o software Fortinet era o alvo desde 17 de outubro de 2022. O invasor explora o mecanismo de controle de uma função para atingir as versões afetadas dos produtos Fortinet.

A função avalia o acesso dos dispositivos afetados a outra funcionalidade chamada REST API. O invasor adiciona uma chave SSH à conta do administrador ao explorar a falha para acessar o SSH e invadir o sistema afetado como administrador.

Para comprometer ainda mais o sistema, o agente da ameaça modificará a chave SSH do usuário administrador e fará login no sistema infectado. Em seguida, eles adicionariam novos usuários locais e atualizariam as configurações de rede para redirecionar o tráfego. Em seguida, o invasor baixa a configuração do sistema e inicia capturas de pacotes para capturar informações confidenciais do sistema.

A Conexão Dark Web

De acordo com os pesquisadores, existem mais de cem mil firewalls FortiGate expostos à Internet que estão sob o radar dos invasores e vulneráveis ​​à falha. Dado o grande número de produtos expostos, a vulnerabilidade foi classificada como crítica.

Os pesquisadores suspeitam que dados confidenciais do sistema, informações de configuração e detalhes da rede possam ser compartilhados na Dark Web . Isso ocorre porque o invasor pode adicionar ou atualizar uma chave SSH pública válida para a conta de destino em um sistema e obter acesso total a esse sistema.

Além disso, o invasor pode lançar ataques adicionais contra o restante do ecossistema de TI da organização após obter informações por meio da exploração dessa falha. Eles estão distribuindo acesso inicial pela Dark Web , que tem sido usada em vários ataques de alto nível recentemente.