Fortinet waarschuwt dat zijn FortiGate firewalls en FortiProxy web proxies getroffen kunnen worden door een recente kwetsbaarheid. De kwetsbaarheid stelt cybercriminelen in staat om een authenticatie-bypass uit te voeren.

Volgens de securityspecialist gaat het om CVE-2022-40684, een kwetsbaarheid die een authenticatie-bypass uitvoert op de administratieve interface van de FortiGate firewall- en FortiProxy web proxy-omgevingen. Uiteindelijk kunnen cybercriminelen hierdoor inloggen op niet-gepatchte devices.

Werking authenticatie bypass

De bypass gebruikt hiervoor een alternatief kanaal (CWE-88) in FortiProxy en besturingssysteem FortiOS. Dit stelt de cybercriminelen in staat acties uit te voeren op de administratieve interface via speciaal aangemaakte HTTP- of HTTPS-verzoeken.

Volgens Fortinet is de aangetroffen kwetsbaarheid zeer kritiek en moet de kwetsbaarheid direct door klanten worden aangepakt. De kwetsbaarheid is aanwezig in systemen met versies 7.0.0 tot 7.0.6 en 7.2.0 tot 7.2.1 van FortiOS, evenals versies 7.0.0 tot 7.0.6 en 7.2.0 van FortiProxy. Alle devices met deze versies moeten zo snel geüpdatet worden naar versie 7.0.7 van FortiOS en 7.2.2 van FortiProxy.

Workaround beschikbaar

Voor bedrijven die niet snel een patch kunnen uitvoeren is er inmiddels ook een workaround beschikbaar. De workaround werd door Fortinet voorgesteld en houdt in dat klanten de IP-adressen die administratieve interfaces kunnen bereiken beperken met een local-in policy. Ook beveelt de securityspecialist aan beheerinterfaces op afstand uit te schakelen voor het blokkeren van aanvallen.

Tip: FortiEDR is meer dan EDR dankzij security fabric integratie en pro-active monitoring