FortiNet Administrative Authentication bypass

Deze liveblog bevat informatie over de FortiNet Administrative Authentication bypass. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 oktober 2022.

Update 14 oktober 2022

11:00 | We hebben onze blog over de Fortinet Authenticatie Bypass (CVE-2022-40684) kwetsbaarheid bijgewerkt. Zoals verwacht is er een proof-of-concept exploit gepubliceerd door Horizon3. Met de publicatie van de proof-of-concept exploit code, neemt de kans op uitbuiting door kwaadaardige entiteiten toe. Daarom is het met klem te adviseren om de software update of workaround toe te passen.

De blog gepubliceerd door Horizon3 met betrekking tot de proof-of-concept exploit: https://www.horizon3.ai/fortios-fortiproxy-and-fortiswitchmanager-authentication-bypass-technical-deep-dive-cve-2022-40684/

Update 13 oktober 2022

17:00 | We hebben onze blog over de Fortinet authenticatie bypass kwetsbaarheid bijgewerkt. De kwetsbaarheid is geregistreerd als CVE-2022-40684 en betreft een authenticatie bypass kwetsbaarheid voor de beheerinterface van FortiOS, FortiProxy en FortiSwitchManager.

Fortinet heeft een public Security Advisory gepubliceerd, waarbij FortiSwitchManager is toegevoegd aan de lijst van kwetsbare producten. Daarnaast hebben Fortinet en IT-security bedrijf Horizon3 stappen gepubliceerd om uitbuiting van CVE-2022-40684 te detecteren. Om uitbuiting te detecteren, moet specifieke logging ingeschakeld zijn.

Update 07 oktober 2022

14:00 | Op 6 oktober 2022 heeft FortiNet een customer support bulletin uitgebracht waarin ze CVE-2022-40684 beschrijven. Dit betreft een authentication-bypass kwetsbaarheid in de beheerinterface van FortiOS en FortiProxy.

Er is een patch beschikbaar, het advies is om deze zo snel mogelijk te installeren.

Momenteel is er nog weinig informatie beschikbaar over deze kwetsbaarheid. Deze blog wordt bijgewerkt zodra er meer informatie beschikbaar komt.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Kwetsbaarheid informatie

Op 6 oktober 2022 heeft FortiNet een customer support bulletin uitgebracht waarin ze CVE-2022-40684 beschrijven. Dit betreft een authentication-bypass kwetsbaarheid in de beheerinterface van FortiOS en FortiProxy.

Mogelijke risico’s

CVE-2022-40684 stelt een niet geauthentiseerde aanvaller in staat om acties uit te voeren op de beheerinterface via specifieke HTTP of HTTPS-verzoeken met behulp van een alternatief pad of kanaal.

Detail informatie

Fortinet heeft FortiSwitchManager toegevoegd aan de lijst van kwetsbare producten. De volgende producten zijn volgens Fortinet kwetsbaar voor CVE-2022-40684:

FortiGate – FortiOS versie 7.0.0 – 7.0.6 en 7.2.0 – 7.2.1
FortiProxy – Versie 7.0.0 – 7.0.6 en 7.2.0
FortiSwitchManager – Versie 7.0.0 en 7.2.0

Fortinet heeft updates beschikbaar gesteld die de kwetsbaarheid verhelpen voor de verschillende producten. Het advies is om de betreffende patch zo snel mogelijk te installeren:

FortiGate upgrade naar versie 7.0.7 of 7.2.2
FortiProxy upgrade naar versie 7.0.7 of 7.2.1
FortiSwitchManager upgrade naar versie 7.2.1

Wanneer de patch niet geïnstalleerd kan worden, zijn er afhankelijk van het product twee workarounds beschikbaar:

beperk de IP-adressen die de beheerinterface kunnen benaderen;
schakel de beheerinterface uit.

Gedetailleerde instructies voor beide workarounds zijn beschikbaar in de Fortinet Security Advisory.

Zowel de Fortinet Security Advisory als de Horizon3 blog beschrijven stappen om uitbuiting van de kwetsbaarheid te detecteren. Dit vereist dat de REST API logging is ingeschakeld, wat met klem wordt geadviseerd. Wanneer de REST API logging reeds was ingeschakeld, ga dan na of er sporen aanwezig zijn die duiden op uitbuiting van de kwetsbaarheid. Deze sporen worden beschreven in zowel de Fortinet Security Advisory als de Horizon3 blog.

Call-to-Action

Call-to-action:

Bepaal of het Fortinet product kwetsbaar is;
Pas de software patch toe of implementeer een workaround;
Schakel REST API logging in. Dit is ook aan te raden wanneer de patch reeds is geïnstalleerd, of één van de workarounds is geïmplementeerd;
Controleer de log bestanden op sporen die kunnen duiden op uitbuiting van de kwetsbaarheid;
Neem contact op met Fortinet Customer Support, Tesorion-SOC of Tesorion-CERT wanneer sporen van uitbuiting van de kwetsbaarheid worden waargenomen.

Bronnen

Meer informatie:

Horizon3 blog – proof-of-concept exploit – https://www.horizon3.ai/fortios-fortiproxy-and-fortiswitchmanager-authentication-bypass-technical-deep-dive-cve-2022-40684/
Proof-of-concept exploit code – https://github.com/horizon3ai/CVE-2022-40684

Fortinet Security Advisory – https://www.fortiguard.com/psirt/FG-IR-22-377
Horizon3 blog – https://www.horizon3.ai/fortinet-iocs-cve-2022-40684/
NCSC Advies – https://advisories.ncsc.nl/advisory?id=NCSC-2022-0630

FortiNet release notes:

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.