Fortinet, som primært leverer IT-sikkerhetsprodukter til bedriftsmarkedet, kom mandag med detaljer om en alvorlig sårbarhet (CVE-2022-40684) som berører flere av selskapets produkter. Blant annet bekrefter selskapet at sårbarheten har blitt utnyttet i minst ett angrep.
Sårbarheten gjør det mulig for ikke-autentiserte angripere å få tilgang til å utføre operasjoner i administrasjonsgrensesnittet til produkter basert på blant annet FortiOS, noe som inkluderer brannmurproduktene FortiGate. Også selskapets FortiProxy- og FortiSwitchManager-produkter er berørt.
Sårbarheten skal kunne utnyttes ved hjelp av spesielt utformede HTTP- eller HTTPS-forespørsler.
Fortinet ber nå kunder om umiddelbart å se etter indikasjoner på kompromittering i loggen til de enkelte produktene.
Sikkerhetsoppdateringene allerede utgitt
Fortinet kom allerede torsdag i forrige uke med sikkerhetsoppdateringer som fjerner sårbarheten i de berørte produktene. Ifølge Bleeping Computer ble noen av Fortinet-kundene samme dag varslet om dette via en e-postmelding.
Brukere som ikke har mulighet til å oppdatere programvaren umiddelbart, kan forhindre utnyttelse av sårbarheten ved å deaktivere webgrensesnittet eller å begrense hvilke IP-adresser som skal kunne få tilgang til grensesnittet.
En gruppe sikkerhetsforskere som kalles seg Horizon3 Attack Team skal i løpet av uken komme med et konseptbevis som demonstrer hvordan sårbarheten kan utnyttes.
Et søk i søketjenesten Shodan viser at det er mer enn 1300 FortiGate-enheter med norsk IP-adresse som eksponerer webgrensesnittet via port 443. Globalt dreier det seg om mer enn 176.000.