Um agente de ameaças está distribuindo acesso não autorizado a várias VPNs Fortinet em um fórum de cibercrime russo. Ao avaliar o acesso, os pesquisadores perceberam que o invasor estava tentando adicionar uma nova chave pública à conta do usuário administrador.

Uma investigação mais aprofundada revelou que as organizações visadas usavam software FortiOS desatualizado. Isso indicava que o invasor estava gerenciando o desvio de autenticação explorando um canal ou uma falha de caminho alternativo rastreada como CVE-2022-40684 no FortiOS.

Essa falha de bypass de autenticação permite que um invasor não autorizado/não autenticado explore a interface administrativa. De acordo com a pesquisa da Cyble publicada em 24 de novembro de 2022, várias versões do Fortinet são afetadas por essa falha, incluindo FortiOS, FortiProxy e FortiSwitchManager.

A vulnerabilidade permite que um invasor execute operações na “interface administrativa” por meio de solicitações HTTPS ou HTTP especialmente criadas, leu o comunicado do Cyble.

A pesquisa revelou que o software Fortinet era o alvo desde 17 de outubro de 2022. O invasor explora o mecanismo de controle de uma função para atingir as versões afetadas dos produtos Fortinet.