Fortinet本周坦承一项影响防火墙、网关的重大软件漏洞已发生多起攻击,且还有相当多用户尚未修补,呼吁用户尽快行动。
CVE-2022-40684为HTTP/HTTPS管理接口的验证绕过漏洞,可被远程滥用,Fortinet将最新漏洞风险值列为9.6,属于重大风险。这项漏洞影响FortiOS、FortiProxy和FortiSwitchManager。Fortinet已发布安全更新。
不过Fortinet上周是先低调通过电子邮件提醒部分用户。随后几日才向所有用户发出安全公告,要求用户尽快安装更新软件。
在最新的安全公告中,Fortinet解释他们何以这么做,以及漏洞滥用情形。Fortinet表示一开始只发现一起滥用事件,这使得他们改变常用的通知流程,先于10月6日针对受影响固件版的用户窗口发布机密早期警告,10月10日再对大众发布公告。
Fortinet说明,在10月6日的秘密通知后,该公司的诱捕系统(下图)侦测到开始有一个以上的攻击者扫描网络上的Fortinet设备,滥用最新漏洞以下载配置档,以及设立恶意管理员账号。而从10月10日多次公告以来,网络上已经有积极的滥用情形。Fortinet说他们主动联系用户,要求他们立即修补漏洞,不过仍然有相当大量的设备有漏洞却还未更新。
根据其他安全研究人员的研究,针对CVE-2022-40684的大规模攻击已经在网络上展开,例如GreyNoise的系统每天都侦测到上百个IP位置对网络进行扫描。此外似乎有攻击者利用网络公开的概念验证程序(PoC)发动攻击。
最后,Fortinet再次呼吁用户及合作伙伴应立即升级软件及固件以免遭黑。