Cyble — Multiple Organisations compromised by Critical Authentication Bypass Vulnerability in Fortinet Products (CVE-2022-40684)

Threat Actors Selling Fortinet Access Over The DarkwebIntroduction
Multiple versions of Fortinet Products, including FortiOS, FortiProxy, and FortiSwitchManager, were affected by CVE-2022-40684. “An authentication bypass using an alternate path or channel vulnerability [CWE-288] in FortiOS, FortiProxy, and FortiSwitchManager may allow an unauthenticated attacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests,” as mentioned in Fortinet Advisory.
While targeting affected versions of Fortinet products, an attacker takes advantage of a controlling mechanism in a function responsible for evaluating the affected devices’ access to the REST API functionality. While exploiting this vulnerability, the attacker adds an SSH key to the admin user, enabling access to SSH into the affected system as admin, as shown in the Tweet below.

ダークウェブを介してフォーティネットアクセスを販売する脅威アクター紹介
FortiOS, FortiProxy, と FortiSwitchManager を含むフォーティネット製品の複数のバージョンは CVE-2022-40684の影響を受けました.フォーティネットアドバイザリに記載されているように、「FortiOS、FortiProxy、およびFortiSwitchManagerの代替パスまたはチャネルの脆弱性[CWE-288]を使用した認証バイパスにより、認証されていない攻撃者が特別に細工されたHTTPまたはHTTPSリクエストを介して管理インターフェイスで操作を実行する可能性があります。
攻撃者は、影響を受けるバージョンのフォーティネット製品を標的にしながら、影響を受けるデバイスのREST API機能へのアクセスを評価する機能の制御メカニズムを利用します。この脆弱性を悪用している間、攻撃者は以下のツイートに示すように、管理者ユーザーにSSHキーを追加し、管理者として影響を受けるシステムにSSHにアクセスできるようにします。

Cyble — Multiple Organisations compromised by Critical Authentication Bypass Vulnerability in Fortinet Products (CVE-2022-40684)