针对最近披露的影响飞塔FortiOS、FortiProxy和FortiSwitchManager的关键安全漏洞，提供了概念验证( PoC )漏洞利用代码，使得用户必须快速移动应用补丁程序。  Horizon3 . ai研究员James霍斯曼说，FortiOS公开了一个允许用户配置系统的管理门户网站。除此之外，用户还可以将SSH嵌入到系统中，从而暴露被锁定的CLI接口。 该问题被跟踪为CVE – 2022 – 40684 ( CVSS评分: 9.6)，涉及一个身份验证绕过漏…

飞塔周一透露，新修补的影响其防火墙和代理产品的关键安全漏洞正在公共平台被利用。 该漏洞被跟踪为CVE – 2022 – 40684 ( CVSS评分: 9.6)，与FortiOS、FortiProxy和FortiSwitchManager中的身份验证旁路有关，该旁路允许远程攻击者通过巧尽心思构建的HTTP ( S )请求在管理接口上执行未经授权的操作。   飞塔意识到该漏洞被利用的实例，并建议立即根据设备日志中的下列妥协指标验证您的系统：user = ‘ Lo…

飞塔解决了一个关键的身份验证绕过缺陷，该缺陷被跟踪为CVE – 2022 – 40684，影响了FortiGate防火墙和FortiProxy Web代理。 攻击者可以利用该漏洞登录到易受攻击的设备。   “使用FortiOS和FortiProxy中的备用路径或通道[ CWE-88 ]的身份验证旁路可能允许未经身份验证的攻击者通过巧尽心思构建的HTTP或HTTPS请求在管理界面上执行操作”，读取公司发布的客户支持公告。 由于存在远程利用缺陷的风险，…