La scorsa settimana l’azienda ha informato privatamente alcuni clienti della disponibilità di patch e workaround per una vulnerabilità di bypass dell’autenticazione che espone i prodotti FortiOS e FortiProxy ad attacchi remoti. La falla, classificata come CVE-2022-40684, può consentire a un aggressore remoto non autenticato di eseguire operazioni non autorizzate sull’interfaccia di amministrazione dell’appliance interessata utilizzando richieste HTTP o HTTPS appositamente create. Lunedì Fortinet ha reso pubblico un avviso per CVE-2022-40684 e ha avvertito di essere a conoscenza di un attacco che prevede lo sfruttamento dello zero-day. L’azienda ha fornito un indicatore di compromissione (IoC) che i clienti possono utilizzare per verificare se i loro dispositivi sono stati violati. È probabile che lo sfruttamento della vulnerabilità sia avvenuto prima che Fortinet rilasciasse una patch. Lo sfruttamento limitato di una falla di sicurezza suggerisce in genere che dietro gli attacchi ci sia un attore sofisticato, probabilmente un gruppo sponsorizzato da uno Stato. Tuttavia, nei prossimi giorni dovrebbero essere resi pubblici i dettagli e gli exploit proof-of-concept (PoC), che consentiranno ad altri attori delle minacce di aggiungere l’exploit al loro set di strumenti.
Il ricercatore Carlos Vieira ha dichiarato che la vulnerabilità è “davvero semplice da sfruttare e facile da armare” e ha avvertito che lo sfruttamento può portare a un’acquisizione completa del dispositivo. Il SANS Institute ha riferito di aver riscontrato un aumento delle scansioni per una vecchia vulnerabilità di Fortigate e l’azienda ritiene che qualcuno stia cercando di creare un elenco di potenziali obiettivi per lo sfruttamento di CVE-2022-40684. Secondo l’avviso di Fortinet, oltre ai gateway web FortiProxy e alle appliance di sicurezza con FortiOS, la falla riguarda FortiSwitch Manager, la piattaforma di gestione degli switch FortiSwitch. Sono interessate le versioni 7.0.x e 7.2 e le patch sono incluse nelle versioni 7.0.7, 7.2.1 e 7.2.2. I dispositivi vulnerabili esposti a Internet sono molti, il che rende molto probabile uno sfruttamento diffuso. Non è raro che gli attori delle minacce prendano di mira i dispositivi Fortinet nei loro attacchi.
