Fortinet身份验证绕过漏洞在野外被利用；安全专家呼吁进行关键修补 媒体

Fortinet 认证绕过漏洞分析

关键要点

上周发现的Fortinet认证绕过漏洞，已经在实际环境中得到了确认，并且已经被纳入CISA已知被利用漏洞目录。这一漏洞引发了不少研究博客的关注。

Fortinet在周一发布了更新，详细说明了安全团队如何检查其日志以查找可能的被攻击指标。同时，Horizon3ai也在昨天发布了一篇博客同样讨论了这一话题。

根据Deep Instinct的竞争情报分析师Jerrod Piker的解释，此次漏洞CVE202240684是针对大多数Fortinet解决方案的HTTP/S管理访问的脆弱性。他指出，任何部署了运行FortiOS、FortiProxy或FortiSwitchManager的Fortinet设备的组织，都应立即对此警报作出反应，尤其是当CVE202240684在实际环境中已经被利用时更应如此。

Piker补充道，这个漏洞允许未经过身份验证的用户通过HTTP/S管理门户执行管理操作。这些操作可能包括但不限于：修改管理员SSH密钥以允许远程攻击者访问；创建新的本地用户；修改配置以重新路由流量；以及访问完整的系统配置。

Vulcan Cyber的高级技术工程师Mike Parkin表示，安全产品中的漏洞总是一个问题，尤其是当它出现在边缘或网关设备上时。他指出：“虽然Fortinet已发布更新并提供避免风险的替代方案，但由于已有证据表明此漏洞已经在实际环境中被利用，使用受影响产品的任何人都应更加主动及时地更新，并至少根据行业最佳实践限制对这些设备的访问。”

Nucleus Security的解决方案架构师David Farquhar也发布了一篇关于此漏洞的博客，并指出Fortinet产品通常用于网络边缘，旨在保护网络。因此，Farquhar表示，他们实际上是组织希望保护管理接口的最后一处地方。

“理论上，你不应该让管理接口在互联网上可访问，”Farquhar说道。“不幸的是，有时候组织会暂时让该管理接口可访问，但又忘了关闭，这样就使其暴露在外。这也是为什么确保安全团队扫描所有公共地址空间，以及寻找那些不该存在的东西如管理接口非常重要的原因。”