본문 바로가기
FortiGate/ETC...

"관리자 인터페이스 인증 우회" 취약성 대응

by 에티버스이비티 2022. 10. 14.

내용 요약
FortiOS, FortiProxy, FortiSwitchManager의 대체 경로 또는 채널 취약점[CWE-288]을 
사용하는 인증 우회로 인해 인증되지 않은 공격자가 특수하게 조작된 HTTP 또는 HTTPS 요청을 통해 
관리 인터페이스에서 작업을 수행할 수 있습니다.

Exploitation Status: Fortinet은 이 취약점이 악용된 사례를 알고 있으며 장치 로그의 다음 손상 지표에 대해 시스템을 즉시 검증할 것을 권장합니다. user="Local_Process_Access"

CVE ID : CVE-2022-40684


해결 방법
▶ FortiOS
    •  HTTP/HTTPS 관리 인터체이스 비활성화.
    •  관리 인터페이스에 도달할 수 있는 IP주소 제한 방법

config firewall address
    edit "my_allowed_addresses"
        set subnet 192.168.2.100 255.255.255.255   =>  접속 허용 IP</my subnet></my ip>
    next
end

    • Address 생성 후 Address Group 생성

config firewall addrgrp
    edit "MGMT_IPs"
        set member "my_allowed_addresses"
    next
end

    •  (아래 예에서는 wan1) 사전 정의된 그룹에만 액세스를 제한하려면 Local in Policy 생성.

config firewall local-in-policy
    edit 1
        set intf wan1
        set srcaddr "MGMT_IPs"
        set dstaddr "all"
        set action accept
        set service HTTPS HTTP
        set schedule "always"
        set status enable
    next
    edit 2
        set intf "any"
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service HTTPS HTTP  => 아래 Custom Service port 생성하여 사용 가능
        set schedule "always"
        set status enable
    next
end


    •  기본 포트가 아닌 포트를 사용하는 경우 GUI 관리 액세스를 위한 적절한 서비스 객체를 만들어서 적용

config firewall service custom
    edit GUI_HTTPS
        set tcp-portrange <admin-port>  => 예시 : 443 -> 23443 별도 port 사용
    next
    edit GUI_HTTP
        set tcp-portrange <admin-port>  => 예시 : 80 -> 8080 별도 Port 사용
    next
end

    •  local-in policy 1 그리고 2에서 "HTTPS, HTTP" 대신 이들 Custom 개체를 사용합니다.

 

 

 FortiProxy
    •  HTTP/HTTPS 관리자 Interface 비활성화
       또는 관리자 Interface 도달할 수 있는 IP주소 제한 방법 :

config system interface
    edit port1
        set dedicated-to management
        set trust-ip-1
    next
 end

 

 FortiSwitchManager
    •  HTTP/HTTPS 관리자 interface 비활성화

 

▶ 영향받는 제품
FortiOS versions 5.x, 6.x 은 영향 없음
FortiOS version 7.2.0 through 7.2.1
FortiOS version 7.0.0 through 7.0.6

FortiProxy version 7.2.0
FortiProxy version 7.0.0 through 7.0.6

FortiSwitchManager version 7.2.0
FortiSwitchManager version 7.0.0


▶ 해결 방안
FortiOS version 7.2.2 이상으로 업그레이드
FortiOS version 7.0.7 이상으로 업그레이드

FortiProxy version 7.2.1 이상으로 업그레이드
FortiProxy version 7.0.7 이상으로 업그레이드

FortiSwitchManager version 7.2.1 이상으로 업그레이드

저작자표시 비영리 변경금지

'FortiGate > ETC...' 카테고리의 다른 글

"get system performance status"의 network usage 설명  (0) 2022.10.31
ISDB 사이즈 설정 : v7.0.4, v7.2.1 이상  (0) 2022.10.28
v7.2.1 : FortiGate VM Trial 버전 영구적으로 사용 가능  (0) 2022.09.14
FortiAI가 FortiNDR로 이름 변경  (0) 2022.08.29
Fortinet 제품 모델명 의미  (0) 2022.08.08

관련글

댓글

티스토리툴바