Fortinet正在敦促客户修补一个已经在野外被利用的关键身份验证绕过漏洞。本月早些时候，这家网络供应商修复了在其FortiOS网络操作系统、FortiProxy安全Web代理和FortiSwitchManager管理平台项目中发现的漏洞CVE-2022-40684 。该漏洞允许未经身份验证的攻击者向管理员用户添加SSH密钥，从而使潜在的不法分子能够使用特制的HTTP或HTTPS请求破解管理界面。该问题影响7.0.0到7.0.6和7.2.0到7.2.1的FortiOS版本，7.0.0到7.0.6和7.2.0的FortiProxy版本，以及7.0.0和7.2.0的FortiSwitchManager版本。

客户通过电子邮件收到通知，并建议本月早些时候将易受攻击的设备更新到FortiOS 7.0.7或7.2.2及更高版本、FortiProxy 7.0.7或7.2.1及更高版本以及FortiSwitchManager 7.2.1或更高版本。Fortinet说，那些不能的人应该立即禁用面向互联网的HTTPS管理界面。

补丁发布后，Horizo​​n3.ai发布了利用该漏洞的概念验证代码。

“攻击者可以利用这个漏洞对易受攻击的系统做任何他们想做的事情。这包括更改网络配置、添加新用户和启动数据包捕获，”它警告说。

“请注意，这不是利用此漏洞的唯一方法，可能还有其他条件有效。例如，这个漏洞的修改版本使用了User-Agent'Node.js'。”

同时，网络安全公司Cyfirma警告说，攻击者正在扫描并试图利用该漏洞。

“我们的情报研究界观察到伊朗和中国的威胁行为者滥用Fortinet产品的漏洞，”它说。“可疑的威胁参与者是 US17IRGCorp aka APT34、HAFNIUM及其在正在进行的活动中的附属机构。”

Cyfirma警告说，伊朗网络犯罪分子似乎与中国网络犯罪分子和俄罗斯网络犯罪分子一起行动，这是该活动的一部分，目的是支持俄罗斯在乌克兰的进攻。

Cyfirms表示，暗网论坛讨论的重点是利用依赖Fortinet技术的企业网络中的弱点、中间操纵者(MITM) 攻击、潜在的勒索软件攻击以及横向移动以深入入侵受感染的网络组织。

针对在野外检测到的攻击，Fortinet发布了进一步的建议，强调情况越来越严重。

“Fortinet知道利用此漏洞从目标设备下载配置文件的情况，并添加一个名为‘fortigate-tech-support’的恶意超级管理员帐户，”它在重申其建议客户进行更新之前表示。

然而，四天后，许多受影响的组织似乎仍然未能修补他们的系统，导致Fortinet再次发出警告。

“在过去一周来自Fortinet的多次通知之后，仍有大量设备需要缓解，并且在外部方发布PoC代码之后，该漏洞正在积极利用，”它说。

该公司的一份声明中补充道：“作为我们对客户安全承诺的一部分，我们将继续主动联系，强烈敦促他们立即遵循我们 10月10日PSIRT咨询(FG- IR-22-377），我们将继续监测情况。”