按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

多個組織因 Fortinet 嚴重身分認證略過漏洞而遭駭侵攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-11-30
  • 點閱次數:3027
多個組織因 Fortinet 嚴重身分認證略過漏洞而遭駭侵攻擊 TWCERT/CC

資安廠商 Cyble 日前發表研究報告,指出該公司的網路掃瞄機制,發現分布全球超過 10 萬台 Fortinet 出品之 FortiGate 防火牆,曝露在一個嚴重身分認證略過漏洞 CVE-2022-40684 的風險之下;目前已傳出有駭侵者利用此一漏洞發動攻擊。

CVE-2022-40684 是一個存於多款 Fortinet 網通產品(如 FortiOS、FortiProxy、FortiSwitchManager)之內的嚴重漏洞,駭侵者可以特製的 HTTP 或 HTTPS 連線要求,來觸發此一錯誤,跳過系統身分認證程序,在管理介面進行各種操作。

Cyble 在報告中進一步指出,駭侵者可以利用這個漏洞,在管理員用戶帳號上新增一個 SSH 金鑰,駭侵者即可以管理者的身分和權限,以 SSH 連入受害系統內,並且攻擊內部網路其他裝置和 IT 環境。

報告中指出,駭侵者可以進行的操作,包括修改管理員的 SSH 金鑰以登入受攻擊系統、新增本機用戶、變更網路設定、更改封包路由、下載系統設定檔、竊取封包以攔截機敏資訊、並將各種設定資訊情報輪出到暗網上販售。

受此漏洞影響的 FortiOS 與 FortiProxy 版本號碼均為 7.0.0 到 7.2.1 的中間各版,FortiSwitchManager 則為 7.2.0 與 7.0.0。

這個漏洞的 CVSS 危險程度評分高達 9.6 分(滿分為 10 分), 危險程度分級為最高等級的「嚴重」;Fortinet 原廠已在十月上旬針對 CVE-2022-40684 推出官方版本的更新與暫時處理方案。

建議措施:使用 Fortinet 上述產品的單位,除應立即升級至最新版本,以套用漏洞修補方案外,也應針對內部網路進行網段分割,以防止已入侵的駭侵者進一步攻擊內網其他裝置。

  • CVE編號:CVE-2022-40684
  • 影響產品:FortiOS/FortiPproxy:7.2.1、7.2.0、7.0.6、7.0.5、7.0.4、7.0.3、7.0.2、7.0.1、7.0.0;FortiSwitchManager:7.2.0、7.0.0。
  • 解決方案:依照 Fortinet 提供的指引,變更部分設定並升級置最新版本。
回頁首