【免費註冊】 【會員登入】 【個人資料】 【會員列表】 【論壇幫助】 【論壇搜尋】 【登出論壇】

∮Ω奧米加空間∮
∮Ω奧米加空間∮»技術文件區»【注意】Fortinet 警告管理員應立即修補關鍵的身份驗證繞過錯誤

訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆
作者 主題    
dc
管理員



性別:男
來自:瓦肯星
發表總數:10338
註冊時間:2002-05-07 16:32
(第 1 篇) 【注意】Fortinet 警告管理員應立即修補關鍵的身份驗證繞過錯誤

https://www.bleepingcomputer.com/news/security/fortinet-warns-admins-to-patch-critical-auth-bypass-bug-immediately

Fortinet warns admins to patch critical auth bypass bug immediately
October 7, 2022 09:04 AM

Fortinet has warned administrators to update FortiGate firewalls and FortiProxy web proxies to the latest versions, which address a critical severity vulnerability.

The security flaw (tracked as CVE-2022-40684) is an authentication bypass on the administrative interface that could allow remote threat actors to log into unpatched devices.

"An authentication bypass using an alternate path or channel [CWE-88] in FortiOS and FortiProxy may allow an unauthenticated attacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests," Fortinet explains in a customer support bulletin issued today.

"This is a critical vulnerability and should be dealt with the utmost urgency," the company adds.

Fortinet has also emailed customers and advised them to update to the latest available versions immediately.

"Due to the ability to exploit this issue remotely, Fortinet is strongly recommending all customers with the vulnerable versions to perform an immediate upgrade," the company warned.

According to a Shodan search, more than 100,000 FortiGate firewalls are reachable from the Internet, although it's unknown if their management interfaces are also exposed.


Internet-exposed FortiGate firewalls (Shodan)

The complete list of products vulnerable to attacks attempting to exploit the CVE-2022-40 flaw includes:

。FortiOS: From 7.0.0 to 7.0.6 and from 7.2.0 to 7.2.1
。FortiProxy: From 7.0.0 to 7.0.6 and 7.2.0
Per today's customer support bulletin, Fortinet released security patches on Thursday, asking customers to update vulnerable devices to FortiOS/FortiProxy versions 7.0.7 or 7.2.2.

Workaround available until deploying patches
The company also provides a workaround for those who can't immediately deploy security updates.

To block remote attackers from bypassing authentication and logging into vulnerable FortiGate and FortiProxy deployments, customers should limit the IP addresses that can reach the administrative interface using a local-in-policy.

However, as revealed in an advanced communication to "selected customers," Fortinet advises admins to disable remote management user interfaces to ensure that potential attacks are blocked.

"If these devices cannot be updated in a timely manner, internet facing HTTPS Administration should be immediately disabled until the upgrade can be performed," Fortinet said.

A Fortinet spokesperson refused to comment when asked if the vulnerability is actively exploited in the wild and hinted that the company would share more information in the coming days.

"Customer communications often detail the most up-to-date guidance and recommended next steps to best protect and secure their organization," the Fortinet spokesperson said.

"There are instances where confidential advance customer communications can include early warning on Advisories to enable customers to further strengthen their security posture, which then will be publicly released in the coming days to a broader audience."

Update October 07, 13:22 EDT: Added Fortinet statement.

管理介面對 Internet 開放且沒有鎖定 IP 連線的一定要更新,沒辦法即時更新的拔掉 Internet 連線管理介面。
易受試圖利用 CVE-2022-40 漏洞攻擊的完整產品列表包括:
FortiOS:從 7.0.0 到 7.0.6 和從 7.2.0 到 7.2.1
FortiProxy:從 7.0.0 到 7.0.6 和 7.2.0

需更新到 FortiOS/FortiProxy 版本7.0.7或7.2.2

需要看中文的可以透過 google 翻譯連結如下
https://www-bleepingcomputer-com.translate.goog/news/security/fortinet-warns-admins-to-patch-critical-auth-bypass-bug-immediately/?_x_tr_sl=auto&_x_tr_tl=zh-TW&_x_tr_hl=zh-TW&_x_tr_pto=wapp






Your mind to my mind,

your thought to my thought
發表時間:2022-10-08 10:48
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:114.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:10338
註冊時間:2002-05-07 16:32
(第 2 篇)

有人詢問要在哪設定限制 IP 連線 admin 管理介面?

有開 VDOM 請選 全域 -> 系統管理 -> 系統管理員 -> 點一下 系統管理員 admin 按下編輯


將 限制管理員由受信任主機登入 -> 點選起來


可以看到預設是 0.0.0.0/0


我們先從內網開始設定,然後有需要的話再將有固定 IP 的外網設定進去。
記得把 0.0.0.0/0 槓掉不然就白設定了


最後按下 確定

這樣不在信任主機裡的 IP 就無法連線 admin 管理介面拉~







Your mind to my mind,

your thought to my thought
發表時間:2022-10-12 10:52
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:203.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:10338
註冊時間:2002-05-07 16:32
(第 3 篇)

CVE ID CVE-2022-40684
https://www.fortiguard.com/psirt/FG-IR-22-377

除了上述 還有另一個SSL VPN的對全版本都有影響
CVE ID CVE-2022-29055
https://www.fortiguard.com/psirt/FG-IR-22-086

FortiOS / FortiProxy - 訪問 SSL VPN 門戶中的 NULL 指針
概括
FortiOS 和 FortiProxy 的 SSL VPN 門戶中的未初始化指針漏洞 [CWE-824] 的訪問可能允許遠程未經身份驗證或身份驗證(請參閱受影響的產品部分)攻擊者通過 HTTP GET 請求使 sslvpn 守護程序崩潰。

受影響的產品
無需進行身份驗證即可引發崩潰:
FortiOS 版本 6.4.4 到 6.4.9
FortiOS 版本 7.0.0 到 7.0.5
FortiOS 版本 7.2.0

FortiProxy 版本 7.0.0 到 7.0.4

需要經過身份驗證才能引發崩潰:
FortiOS 版本 6.0.0 到 6.0.14
FortiOS 版本 6.2.0 到 6.2.10
FortiOS 版本 6.4.0 到 6.4.3

FortiProxy 版本 1.2.6 到 1.2.13
FortiProxy 版本 2.0.0 到 2.0.9

解決方案
將 FortiOS 升級到 7.2.2 及以上版本,
將 FortiOS 升級到 7.0.7 及以上版本,
將 FortiOS 升級到 6.4.10 及以上版本,
將 FortiOS 升級到 6.2.11 及更高版本。
將 FortiProxy 升級到 7.2.1 及以上版本,
將 FortiProxy 升級到 7.0.7 及以上版本,
將 FortiProxy 升級到 2.0.10 及以上版本。






Your mind to my mind,

your thought to my thought
發表時間:2022-10-12 11:20
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:203.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:10338
註冊時間:2002-05-07 16:32
(第 4 篇)

https://www.fortiguard.com/psirt/FG-IR-22-398

產品資安事件通報 : FG-IR-22-398 FortiOS sslvpnd 中使用堆疊的記憶體緩衝區溢位弱點

各位親愛的 Fortinet 客戶與經銷夥伴 :

        保障所有使用者的資訊安全一直是 Fortinet 的首要之務。Fortinet 了解目前研究得知FortiGate 設備存在一個  SSL-VPN 漏洞可能允許未經身份驗證的遠端攻擊者,透過特製訪問請求進而執行任意代碼或命令。欲瞭解更多資訊,可參閱 Fortinet 最新的 部落格文章以及產品資安公告(PSIRT)。 Fortinet 團隊會即時更新相關資安通報,同時也呼籲使用者盡速更新產品,防範可能的資安風險。

若現行設備無法更新到所要求之版本,相關配套處理方式,請參考FortiGuard 網站PSIRT Advisory FG-IR-22-398 詳細資訊或洽詢所屬服務之經銷或代理業務窗口協助處理。

說明簡介:

FortiOS SSL-VPN 中使用堆疊的記憶體緩衝區溢位弱點 [CWE-122] 可能允許未經身份驗證的遠端攻擊者透過特製訪問要求進而執行任意代碼或命令。



弱點現況:

Fortinet 得知一個在野利用此漏洞的實例,並建議立即根據以下危害指標檢查您的系統:

若發現多筆如下日誌:



Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"



FortiOS系統中若發現存在以下檔案:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash



從 FortiGate 連接到可疑 IP 地址:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033



受影響的產品:

FortiOS 版本7.2.0 到7.2.2
FortiOS 版本7.0.0 到7.0.8
FortiOS 版本6.4.0 到6.4.10
FortiOS 版本6.2.0 到6.2.11
FortiOS-6K7K 版本7.0.0 到7.0.7
FortiOS-6K7K 版本6.4.0 到6.4.9
FortiOS-6K7K 版本6.2.0 到6.2.11
FortiOS-6K7K 版本6.0.0 到6.0.14



解決辦法:

請升級至FortiOS 7.2.3或以上版本

請升級至FortiOS 7.0.9或以上版本

請升級至FortiOS 6.4.11或以上版本

請升級至FortiOS 6.2.12或以上版本

請升級至FortiOS-6K7K 7.0.8或以上版本

請升級至FortiOS-6K7K 6.4.10或以上版本

請升級至FortiOS-6K7K 6.2.12或以上版本

請升級至FortiOS-6K7K 6.0.15或以上版本



暫時解決辦法:

直接關閉 SSLVPN 功能。



-關注Fortinet 官方最新訊息-

代理商資訊 : https://m.fortinet.com.tw/site/agent-info/
Line 官方粉絲 ID : @Fortinet
FB 官方粉絲專頁:https://www.facebook.com/FortinetTaiwan/
--

Channel Department
Fortinet | Fast. Secure. Global.




本帖由dc最後編輯於2022-12-19 17:16

Your mind to my mind,

your thought to my thought
發表時間:2022-12-19 16:50
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:203.*.*.* 編輯  引言回覆 
所有時間均為GMT+8, 現在是2023-01-31 12:07    
訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆

快速回覆
主題 ( 回覆文章可以不輸入標題 )
URLs自動分析
有回覆時郵件通知
禁用表情符號
使用簽名

<聯絡我們 - OMEGA - 控制面板>

Powered by Centaur & Joksky & DC, ver 2003.08.14
Copyright ©2002-2008 PHPY.COM


頁面生成時間:0.011987924575806