Fortinet khẩn thiết yêu cầu admin cập nhật ngay bản vá cho lỗ hổng bảo mật nghiêm trọng đã bị tiết lộ công khai

Fortinet hiện đang kêu gọi khách hàng và các admin hệ thống sử dụng sản phẩm, dịch của họ khẩn trương cập nhật các bản vá mới nhất. Các admin được khuyến cáo thực hiện ngay việc cài đặt bởi lỗ hổng bỏ qua xác thực trên FortiOS, FortiProxy và FortiSwitchManager hiện đang bị khai thác trong các cuộc tấn công.

Lỗ hổng mà Fortinet đang nhắc tới được gán mã CVE-2022-40684 và là loại lỗ hổng bỏ qua xác thực. Tuần trước, Fortinet đã tung ra bản vá cho CVE-2022-40684. Đồng thời, trong một cảnh báo riêng tư, hãng này khuyến cáo khách hàng nên vô hiệu hóa giao diện quản lý người dùng từ xa trên các thiết bị bị ảnh hưởng nhằm chặn các cuộc tấn công nếu chưa thế ngay lập tức cài đặt bản vá.

Một tuần sau đó, các nhà nghiên cứu bảo mật của Horizon3.ai đã chia sẻ phương thức khai thác CVE-2022-40684 và phân tích nguyên nhân gốc rễ kỹ thuật của lỗ hổng này.

Hôm thứ 6 ngày 14/10/2022, sau khi mã khai thác được chia sẻ công khai, Fortinet đã đưa ra một cảnh báo công khai yêu cầu khách hàng vá khẩn cấp lỗ hổng CVE-2022-40684 vì nó đang bị khai thác một cách tích cực.

“Sau nhiều thông báo từ Fortinet trong tuần qua, vẫn có một số lượng đáng kể thiết bị cần được giảm thiểu và sau khi một số bên thứ ba công bố mã khai thác, đã có những kẻ xấu lợi dụng lỗ hổng này”, Fortinet cảnh báo. “Trước diễn biến phức tạp này, Fortinet một lần nữa khuyến nghị khách hàng và đối tác thực hiện hành động khẩn cấp và ngay lập tức như được mô tả trong cảnh báo công khai”.

Cụ thể, Fortinet đưa ra hai giải pháp sau:

  • Nếu có thể, khách hàng và đối tác của Fortinet nên cập nhật ngay FortiOS lên phiên bản 7.0.7 và 7.2.2
  • Nếu chưa thế nâng cấp FortiOS, cần áp dụng ngay các biện pháp giảm thiểu sau đây:
    • Thay đổi cấu hình trên Firewall
      • Cấu hình trusted firewall address chỉ cho phép IP quản trị kết nối vào.
      • Cấu hình local-policy chỉ cho phép những source trên kết nối quản trị vào Firewall và deny các source còn lại.
    • Tắt quản trị HTTPS/HTTP trên Interface sử dụng IP public quản trị nếu không thực sự cần thiết.

Nếu bạn muốn xác minh xem thiết bị của mình có bị hacker tấn công hay không trước khi áp dụng các biện pháp giảm thiểu hoặc cập nhật bản vá, bạn có thể kiểm tra nhật ký của thiết bị cho user=” Local_Process_Access”, user_interface=” Node.js”, hoặc user_interface=” Report Runner”.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *