Fortinet新修補漏洞已有多起攻擊,逾1萬7千臺Fortinet設備恐曝險,臺灣635臺居第三
網路安全設備商Fortinet近日一項漏洞修補消息,由於業者通知用戶的方式有別於以往,再加上後續出現多起攻擊發生的態勢,所以引發了大家關注。
這起事件的起因,主要是Fortinet通知用戶,修補CVE-2022-40684漏洞,而這漏洞的性質,屬於HTTP/HTTPS管理介面的驗證繞過漏洞,其CVSS風險評分達9.6分,主要影響了他們旗下的三款產品線,分別是:FortiOS、FortiProxy、FortiSwitchManager。
只是,在這次漏洞修補通知過程中,呼籲他們儘速更新防火牆及網頁安全閘道產品,或採取緩解措施,信中並指出,這項通知僅提供特定用戶,並強調內容極度機密,不可對外分享,日後才會公告。
到了10月10日,Fortinet在自家網站的PSIRT資安公告區, 公開說明上述漏洞CVE-2022-40684的更新修補已經釋出了,當中提及他們注意到已出現成功利用此漏洞的情形。此外,同日還有針對另外5個漏洞的更新修補公告。
然而,在10月6日的隔天,就有用戶將CVE-2022-40684漏洞訊息公開,張貼於社群網站及客戶支援論壇,而且,接下來,許多媒體也都在官方公告前就報導此事,等於在廠商正式公告前,相關消息早已曝光。
這也使得中,不僅說明發生多起攻擊、公布相關IoC,也提到他們這次改變慣常的通知流程,是希望客戶能在對外發布公告之前,加強其安全態勢。
對於這樣的通知,我們也詢問臺灣Fortinet為何出現這樣的狀況,他們表示,此事件的通知模式並非常態,主要期望幫用戶爭取更多的反應時間。
但從結果來看,Fortinet這次低調的漏洞修補通知,其實在隔日就公諸於世,早於正式公告。因此,此作法的效果及影響,是否不如一開始就直接公開揭露,成為外界議論焦點。
此外,我們再向臺灣Fortinet了解狀況,以確認事件經過。問題包括:是否可以說是攻擊者先找出這個漏洞利用,因此Fortinet發現後趕緊修補漏洞,在釋出更新後,決定在發布產品安全性更告知前,先行通知特定用戶更新,以爭取反應時間。以及是否所有受影響的用戶都先收到通知?還是企業若想要能先收到通知,需達到何種條件?目前正等待臺灣Fortinet回覆。
多家業者對未修補用戶示警
對於CVE-2022-40684漏洞被鎖定攻擊的情形,從Fortinet在10月14日所公布的資訊來看,之所以在6日調整了通知流程,是因為當時發現此漏洞遭濫用的一個實例,而到了14日,他們在公告提到,因為此重大漏洞的關係,已發生多起攻擊。
該公司指出,在6日的早期對特定用戶進行祕密示警之下,已在他們設置的誘捕系統中,發現網路上有掃描受影響的設備,利用漏洞下載配置檔並安裝惡意管理員帳戶。
另外值得關注的是,針對此漏洞進行攻擊,其他資安業者及組織也揭露各自的發現。關於CVE-2022-40684的攻擊,他們的系統每天都偵測到上百個IP位址,對網路進行相關的掃描;他們發現全球有17,415臺設備,易受鎖定CVE-2022-40684漏洞利用攻擊,應該要被修補,且不應將管理介面暴露於網際網路上,而從各國來看,美國與印度的暴露數量最多,分別都有超過3千4百臺、 1千7百臺的規模,臺灣有635臺,位居第三。
