“یک دور زدن احراز هویت با استفاده از یک مسیر یا آسیب پذیری کانال جایگزین [CWE-288] در FortiOS، FortiProxy و FortiSwitchManager ممکن است به یک مهاجم احراز هویت نشده اجازه دهند تا از طریق درخواستهای HTTP یا HTTPS که بهطور خاص ساخته شدهاند، عملیاتی را روی رابط مدیریتی انجام دهد.”
آژانس امنیت سایبری و امنیت زیرساخت (CISA) یک نقص مهم Fortinet را به فهرست آسیبپذیریهای مورد سوء استفاده شناخته شده خود اضافه کرده است.
CISA در روز سه شنبه این نقص را به آن اضافه کرد کاتالوگ KEV، یک روز پس از اینکه Fortinet یک بای پس احراز هویت CVE-2022-40684 را که هفته گذشته وصله کرده بود را فاش کرد، قبلاً در طبیعت مورد سوء استفاده قرار می گرفت.
همچنین: آینده ترسناک اینترنت: چگونه فناوری فردا تهدیدات امنیتی سایبری بزرگتری را ایجاد خواهد کرد
این شرکت بهروزرسانیهایی را برای FortiOS، FortiProxy و FortiSwitchManager منتشر کرده است تا این نقص را برطرف کند که بر چندین دستگاه امنیتی آن تأثیر میگذارد.
به طور جداگانه، CISA در روز سه شنبه نیز نقص ویندوز را اضافه کرد CVE-2022-41033 به کاتالوگ KEV خود. مایکروسافت منتشر کرد یک به روز رسانی برای آن روز سهشنبه به آسیبپذیری افزایش امتیاز سرویس Windows COM+ Event System رسیدگی کند. مایکروسافت تأیید کرد که مورد سوء استفاده قرار گرفته است اما خاطرنشان کرد که این آسیب پذیری به طور عمومی فاش نشده است.
محققان امنیتی با تیم حمله Horizon3 دارند شاخص های اولیه سازش را منتشر کرد برای کمک به ادمین ها در کشف دستگاه های در معرض خطر.
CISA به آژانسهای فدرال دستور داده است تا هر دو نقص را تا اول نوامبر اصلاح کنند.
منبع: https://www.zdnet.com/article/fortinet-warns-that-critical-authentication-bypass-flaw-has-been-exploited/#ftag=RSSbaffb68