شرکت Fortinet به خریداران محصولات خود اعلام نموده فورا وصله های مربوط به دستگاههای خود را در برابر آسیب پذیری دور زدن احراز هویت FortiOS, FortiProxy و FortiSwitchManager که در حملات مورد سواستفاده قرار میگیرد، نصب نمایند.
این شرکت به روز رسانی امنیتی برای آسیب پذیری CVE-2022-40684 را هفته پیش منتشر نموده و همچنین به خریداران محصولات خود توصیه کرده در صورتیکه در حال حاضر امکان به روز رسانی و نصب وصله ها را ندارند، رابطهای کاربری مدیریت دسترسی از راه دور را روی دستگاههای تحت تاثیر، غیرفعال کنند.
بعد از اینکه کد exploit منتشر شد، Fortinet یک هشدار عمومی صادر کرد و از مشتریان خود خواست که این حفره امنیتی را فورا آپدیت نمایند.
اما بعد از هشدارهای متعدد از سوی Fortinet در هفته گذشته، هنوز تعداد زیادی دستگاه آسیب پذیر وجود دارد.
پس از اینکه مهاجمان اقدام به جستجوی دستگاههای وصله نشده کردند، همزمان با ارسال پیام های اولیه ای که در 6 اکتبر برای خریداران این محصولات ارسال شد، Fortinet اعلام کرد عوامل تهدید کننده که از این آسیب پذیری برای ایجاد حسابهای مدیریتی مخرب، سواستفاده می کردند را شناسایی نموده است.
شرکتهای امنیت سایبری GreyNoise و Bad Packets یافته های Fortinet را بعد از انتشار تایید کردند. آنها همچنین اعلام کردند که مهاجمان به صورت گسترده اقدام به سواستفاده از این آسیب پذیری CVE-2022-40684 نموده اند.
مدیران شبکه ای که نمیتوانند فورا این وصله ها را نصب نمایند یا آسیب پذیری دستگاهها را غیرفعال کنند جهت اطمینان از اینکه خطری متوجه آنها نباشد می توانند اقدامات کاهشی که توسط Fortinet به اشتراک گذاشته شده است (این لینک) را انجام دهند.
این راهکارها نیازمند غیرفعال کردن رابط مدیریتی HTTP/HTTPS یا محدود کردن آدرس های IP که می توان از آنها برای دسترسی به رابط ادمین از طریق Local in Policy استفاده کرد، می باشد.
اگر میخواهید مشخص کنید که دستگاه شما در معرض خطر بوده یا خیر قبل از به روز رسانی یا انجام اقدامات کاهشی، لاگ های دستگاههای خود را برای مسیر user=” Local_Process_Access”, user_interface=” Node.js” یا user_interface=” Report Runner” بررسی نمایید.
