آسیب‌پذیری بحرانی دور زدن فرایند احراز هویت در محصولات Fortinet

روز گذشته (۷ اکتبر ۲۰۲۲)، Fortinet به منظور رفع یک آسیب‌پذیری بحرانی در محصولات خود، طی یک هشدار امنیتی از مدیران خواست که فایروال‌های FortiGate و وب‌پراکسی‌های FortiProxy را به آخرین نسخه به‌روزرسانی کنند. بر اساس جستجوی Shodan، بیش از ۱۰۰،۰۰۰ فایروال FortiGate از طریق اینترنت قابل دسترسی هستند، اگرچه مشخص نیست که آیا رابط‌های مدیریتی آن‌ها نیز در معرض دید هستند یا خیر.

جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه‌ی CVE-2022-40684 و دارای شدت بحرانی (۹.۶ از ۱۰)، یک نقص دور زدن فرایند احراز هویت در رابط مدیریتی است که به مهاجم اجازه می‌دهد از راه دور بتواند به دستگاه‌های آسیب‌پذیر وارد شود. در واقع، مهاجم با ارسال درخواست‌های HTTP یا HTTPS ساختگی به هدف آسیب‌پذیر، می‌تواند به رابط مدیریتیِ دستگاه وارد شود و عملیات مدیر را انجام دهد.

محصولات تحت تأثیر
محصولات زیر تحت تأثیر این آسیب‌پذیری قرار دارند:
   • FortiOS: از نسخه‌ی ۷.۰.۰ تا ۷.۰.۶ و از نسخه‌ی ۷.۲.۰ تا ۷.۲.۱.
   • FortiProxy: از نسخه‌ی ۷.۰.۰ تا ۷.۰.۶ و نسخه‌‎ی ۷.۲.۰.

توصیه‌های امنیتی
Fortinet وصله‌های امنیتی را در روز پنجشنبه منتشر کرد و از مشتریان خود خواست دستگاه‌های آسیب‌پذیر را به FortiOS نسخه‌های ۷.۰.۷ یا ۷.۲.۲ و FortiProxy  نسخه‌های ۷.۰.۷ یا ۷.۲.۱ به‌روزرسانی کنند.
در حال حاضر هیچ اطلاعاتی مبنی بر استفاده از این آسیب‌پذیری در حملات وجود ندارد. اما با توجه به امکان بهره‌برداری از راه دور، و نیز تمایل مهاجمان برای هدف قرار دادن آسیب‌پذیری‌های FortiOS، اکیداً توصیه می‌شود برای اصلاح این آسیب‌پذیری «با قید فوریت» اقدام شود.
در صورتی که در حال حاضر امکان به‌روزرسانی دستگاه‌های آسیب‌پذیر وجود ندارد، انجام اقدامات کاهشی زیر توصیه می‌گردد:

• برای جلوگیری از دور زدن فرایند احراز هویت و ورود به سیستم‌های آسیب‌پذیرِ FortiGate و FortiProxy توسط مهاجمان از راه دور، مشتریان باید آدرس‌های IP را که می‌توانند به رابط مدیریتی دسترسی پیدا کنند با استفاده از یک Local-in-Policy محدود کنند.
• در صورت امکان، دسترسی به رابط‌های کاربریِ مدیریتی از راه دور غیرفعال شود.
• دسترسی مدیریتی از طریق WAN باید فوراً غیرفعال شود تا زمانی که به‌روزرسانی انجام شود.

منبع خبر: https://cert.ir/node/1472