Fortinet低調修補可遠端攻擊的防火牆、網頁安全閘道資安漏洞

網路安全設備商Fortinet上周通知部分用戶更新產品軟體，以修補影響防火牆及網頁安全閘道的重大風險漏洞。

Fortinet上周並未透過主要的安全公告網站，而只以電子郵件通知特定用戶編號CVE-2022-40684的漏洞，並被用戶貼上公開社群網站及客戶支援論壇。Fortinet強調內容只供用戶讀取，內容極度機密。Fortinet說過幾天才會公告給更多用戶。

圖片來源／Gitworm on Twitter

CVE-2022-40684為HTTP/HTTPS管理介面的驗證繞過漏洞。由於這項漏洞可遠端濫用，Fortinet強烈建議所有用戶立即更新軟體。Fortinet將最新漏洞風險值列為9.6 ，屬於重大風險漏洞。

最新漏洞影響產品包括FortiOS 7.0.0到7.0.6，以及7.2.0到7.2.1，和FortiProxy 7.0.0到7.0.6，以及7.2.0。Fortinet建議用戶升級到FortiOS 7.0.7或7.2.2版，以及FortiProxy 7.0.7及7.2.1以後版本解決。根據Fortinet文件，若安裝7.2.2版，可同時解決FortiOS及FortiProxy問題。

如果用戶無法及時更新，Fortinet提醒也應立即關閉面向HTTPS管理介面。用戶可以透過防火牆規則功能關閉。

目前CVE-2022-40684是否已遭濫用不得而知。不過Fortinet軟體經常成為駭客攻擊對象，2020年及2021年美國等政府皆警告，有國家駭客濫用這家廠商的軟體漏洞攻擊企業及政府機關。文⊙林妍溱

10月11日補充更新

Fortinet在10月10日發布的PSIRT資安公告中，公開說明針對上述漏洞CVE-2022-40684的更新修補已經釋出，涉及FortiOS、FortiProxy與FortiSwitchManager，特別的是，當中並表示他們注意到已有成功利用此漏洞的情形，另外同日還有針對CVE-2022-26121、CVE-2021-44171、CVE-2022-29055、CVE-2022-35846、CVE-2022-33873、CVE-2022-35844漏洞的更新修補公告。文⊙iThome電腦報資安主編羅正漢

10月17日補充更新

Fortinet在10月14日再度發布關於CVE-2022-40684更新的消息，並說明通知時間軸。