遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益
漏洞描述
Fortinet(飞塔)是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防火墙、防病毒软件、入侵防御系统和终端安全组件等。在受影响的FortiOS、FortiProxy 和 FortiSwitchManager产品的管理界面中,可以通过使用备用路径或通道绕过身份验证,并在未经认证的情况下通过特制的HTTP或HTTPS请求对管理界面进行操作。
风险等级
高
影响版本
FortiOS 版本 7.2.0 - 7.2.1
FortiOS 版本 7.0.0 - 7.0.6
FortiProxy 版本 7.2.0
FortiProxy 版本 7.0.0 - 7.0.6
FortiSwitchManager 版本 7.2.0
FortiSwitchManager 版本 7.0.0
资产确定
title="FortiProxy“
漏洞复现
https://github.com/horizon3ai/CVE-2022-40684
修复建议
目前该漏洞已经修复。据调查,Internet 上可能存在超过 140,000 台可远程访问的 FortiGate防火墙(使用FortiOS系统),如果这些产品的管理界面也暴露于Internet,则很容易受到攻击。建议受影响用户尽快按照 Fortinet PSIRT 中的说明更新到最新版本或缓解。
https://www.fortiguard.com/psirt/FG-IR-22-377
缓解措施
无法立即升级的用户可以通过禁用HTTP/HTTPS管理界面,或使用本地策略限制可以访问管理界面的IP地址来缓解此漏洞。
