飞塔敦促客户立即修复FortiGate和FortiProxy中的关键身份验证绕过漏洞

飞塔解决了一个关键的身份验证绕过缺陷，该缺陷被跟踪为CVE – 2022 – 40684，影响了FortiGate防火墙和FortiProxy Web代理。

攻击者可以利用该漏洞登录到易受攻击的设备。

  “使用FortiOS和FortiProxy中的备用路径或通道[ CWE-88 ]的身份验证旁路可能允许未经身份验证的攻击者通过巧尽心思构建的HTTP或HTTPS请求在管理界面上执行操作”，读取公司发布的客户支持公告。

由于存在远程利用缺陷的风险，该公司敦促客户立即解决这一关键漏洞。

该漏洞对FortiOS版本的影响为7.0 . 0 ~ 7.0 . 6和7.2 . 0 ~ 7.2 . 1，对FortiProxy版本的影响为7.0 . 0 ~ 7.0 . 6和7.2 . 0

网络安全公司通过发布FortiOS / FortiProxy版本7.0 . 7或7.2 . 2来弥补这一缺陷。

该公司也为那些无法立即部署安全更新的用户提供了一个解决方法。

无法升级系统的客户应将对其设备的访问限制为一组特定的IP地址。

目前尚不清楚该漏洞是否在公共平台袭击中被利用。