Una grave vulnerabilità affligge i sistemi del vendor di sicurezza: è stata Già sfruttata in natura e quindi ben studiata, tanto che sono già liberamente disponibili vettori di attacco che vanno oltre il PoC. Ciò pone l’accento sull’urgenza si porre rimedio a tale vulnerabilità, la CVE-2022-40684, che consente di aggirare il sistema di autenticazione dell’interfaccia amministrativa Web nei dispositivi che eseguano FortiOS, FortiProxy e FortiSwitchManager. Tale procedura di infrazione consente all’attaccante di ottenere l’accesso come amministratore sui sistemi colpiti. In particolare le versioni colpite sono: per i prodotti FortiOS, 7.0.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.2.0, 7.2.1; per i prodotti FortiProxy, 7.0.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.2.0; per i prodotti FortiSwitchManager, 7.0.0 e 7.2.0. Consentendo l’accesso amministrativo, tale vulnerabilità porta all’attaccante la facoltà di creare nuovi utenti nel sistema compromesso, ruotare il traffico verso destinazioni a lui gradite, catturare il traffico di rete e dunque ottenere dati sensibili, scaricare l’intera configurazione del sistema (per studiarla in seguito). Per tutti questi motivi è evidente che a tale vulnerabilità sia stato dato un punteggio critico (CVSS 9.6). L’abuso di questa vulnerabilità avviene (come si può studiare dal suo Proof of Concept) attraverso uno qualsiasi dei metodi HTET, POST, PUT, DELETE, ecc) della API con cui si interagisce con i dispositivi affetti da vulnerabilità. Mediate l’uso dell’intestazione “Forwarded”, l’attaccante può impostare l’indirizzo IP del client (“client_ip” a localhost: 127.0.0.1. Questo consente all’attaccante di eseguire un “accesso fidato”, quello che è possibile appunto al client locale quando User-Agent è “Report Runner”, altra intestazione controllabile dall’attaccante. Così facendo l’attaccante impersona un servizio interno del sistema a cui il sistema ha dato un livello di fiducia superiore, aggirando eventuali ACL.  A seguito di questo accesso, tramite la stessa API l’attaccante avrà buon gioco a impostare ad esempio una chiave pubblica per un accesso SSH per sé stesso sul sistema vittima, trovando un punto di attacco persistente alternativo.  Come difendersi dunque? Naturalmente aggiornando alle versioni superiori disponibili dal vendor. Se proprio non fosse possibile aggiornare il sistema, allora è possibile mitigare il problema in alcuni modi: in primo luogo disabilitando l’interfaccia amministrativa HTTP/HTTPS; se anche questo non fosse possibile, allora occorre almeno limitare gli IP capaci di raggiungere questa interfaccia tramite regole di firewall.

Tweet