CVE-2022-28672 Vulnerabilidad Foxit PDF Reader - UaF - RCE - JIT Spraying IOC de omisión de autenticación de FortiOS, FortiProxy y FortiSwitchManager (CVE-2022-40684)

Introducción El reciente CVE FortiOS / FortiProxy / FortiSwitchManager ha sido explotado en la naturaleza. Nos gustaría proporcionar información adicional sobre la vulnerabilidad para que los usuarios puedan comenzar a determinar si han sido comprometidos. En esta publicación discutimos la habilitación del registro y los IOC para FortiOS 7.2.1. Es probable que estos pasos funcionen en otros productos vulnerables, sin embargo, no tenemos otros productos configurados en nuestro laboratorio para realizar pruebas. Vea los detalles de nuestra inmersión técnica aquí.

Registro Si aún no está configurado, el registro de la API REST se puede establecer a través de la CLI de Fortinet con los siguientes comandos:

fortios_7_2_1 # config log setting fortios_7_2_1 (setting) # set rest-api-set enable fortios_7_2_1 (setting) # set rest-api-get enable fortios_7_2_1 (setting) # end fortios_7_2_1 #

Además de las recomendaciones de Fortinet para verificar el registro del dispositivo para user="Local_Process_Access", cualquier sistema afectado también debe ser revisado para los registros con user_interface="Node.js" o user_interface="Report Runner". Vea las capturas de pantalla a continuación para ver ejemplos del exploit que se ejecuta en nuestros sistemas de laboratorio.

node js log Registro JS de nodo

report runner log Registro del ejecutor de informes

El exploit se puede utilizar con cualquier método HTTP (GET, POST, PUT, DELETE, etc.). Además, el error en la solicitud de la API de REST no es una indicación de que un atacante no haya tenido éxito. En nuestro entorno de laboratorio, pudimos modificar las claves SSH de los usuarios administradores a través de una solicitud de API REST que, según los informes, falló. También nos gustaría señalar que un sistema configurado para el uso de producción puede producir registros que coincidan con estos IOC de forma natural. Sin embargo, no esperaríamos que estos IOC coincidieran con las URL dirigidas a puntos finales de API de REST confidenciales.

#Mentalidad de atacante Los extremos de la colección /api/v2/ se pueden utilizar para configurar el sistema y modificar el usuario administrador. Cualquier registro encontrado que cumpla con las condiciones anteriores y también tenga una URL que contenga /api/v2/ debería ser motivo de preocupación. Una investigación adicional de cualquier entrada de registro coincidente puede revelar cualquier daño que haya causado un ataque. Además, un atacante puede realizar las siguientes acciones para comprometer aún más un sistema:

Modifique las claves SSH de los usuarios administradores para permitir que el atacante inicie sesión en el sistema comprometido. Agregar nuevos usuarios locales. Actualice las configuraciones de red para redirigir el tráfico. Descargue la configuración del sistema. Inicie capturas de paquetes para capturar el tráfico. Mitigación

Asegúrese de que todos los sistemas estén actualizados con la última versión de FortiOS. Configure una contraseña segura para el usuario administrador. Configure la autenticación de dos factores para el usuario administrador. Configure la contraseña de cifrado para proteger las contraseñas almacenadas. Limite el acceso a los extremos de la API REST a solo las direcciones IP confiables. Habilite el registro de la API REST para monitorear el uso de la API. Conclusión Este CVE es un recordatorio de la importancia de mantener los sistemas actualizados y proteger los extremos de la API REST con medidas de seguridad adecuadas. Los usuarios de FortiOS, FortiProxy y FortiSwitchManager deben tomar medidas inmediatas para protegerse de futuros ataques y realizar una revisión completa de sus sistemas para determinar si han sido comprometidos.