> [!danger] CVSS 9.8 - Crítico > Bypass de autenticação permite que atacante não autenticado acesse a interface administrativa como administrador via HTTP/HTTPS manipulado. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2022-10-11. Campanhas massivas de exploração observadas imediatamente após divulgação. > [!success] Patch Disponível > FortiOS 7.0.7+ e 7.2.2+. Rotacionar todas as credenciais após aplicação do patch. # CVE-2022-40684 - Fortinet FortiOS Authentication Bypass na Interface Administrativa > CVSS: 9.8 · EPSS: 97% · Vendor: Fortinet · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2022-40684** é uma vulnerabilidade crítica de **bypass de autenticação** (CWE-288) no [[_fortinet|Fortinet]] FortiOS, FortiProxy e FortiSwitchManager. A falha permite que atacantes não autenticados realizem operações na interface administrativa via requisições HTTP ou HTTPS especialmente elaboradas, incluindo adição de usuários privilegiados, download de configurações e execução de scripts. A exploração utiliza o cabeçalho HTTP `Forwarded` para definir `client_ip=127.0.0.1`, enganando o mecanismo de verificação de acesso confiável do FortiOS que válida se o IP de origem é `127.0.0.1` e o User-Agent é `Report Runner`. A [[Arctic Wolf]] observou exploração ativa em campanha ampla logo após a divulgação pública. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **97%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em 2022-10-11 - Exploit público: PoC disponível no PacketStorm Security ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por interfaces admin<br/>FortiOS expostas na internet"] --> B["💥 Auth Bypass via Header<br/>Forwarded: for=127.0.0.1<br/>User-Agent: Report Runner"] B --> C["🔑 Acesso Administrativo<br/>API REST com privilégios<br/>totais sem autenticação"] C --> D["📤 Exfiltração de Config<br/>Download de configuração<br/>com credenciais e PSKs"] D --> E["🔑 Criação de Backdoor<br/>Adição de conta admin<br/>persistente no appliance"] E --> F["🔗 Comprometimento Total<br/>Acesso a políticas, VPN<br/>e certificados da rede"] ``` ## Detalhes Técnicos O mecanismo de bypass explora a verificação de acesso confiável do FortiOS: 1. **Cabeçalho Forwarded manipulado:** Atacante inclui `Forwarded: for=127.0.0.1` na requisição HTTP/HTTPS 2. **Validação enganada:** O FortiOS verifica se `client_ip` é `127.0.0.1` e User-Agent é `Report Runner` 3. **Acesso administrativo:** Com bypass bem-sucedido, qualquer método HTTP (GET, POST, PUT, DELETE) pode ser usado na API 4. **Ações pós-exploração observadas:** Adição de usuários admin, download do arquivo de configuração, upload e execução de scripts **Dados extraíveis via configuração exfiltrada:** - Regras de firewall, políticas, filtragem e nomes de usuário em texto claro - Senhas criptografadas (passíveis de cracking com a chave privada de encriptação) - Segredos IPSEC Pre-Shared Key e certificados locais ## Exploração **Status atual:** Exploração massiva ativa confirmada por múltiplos grupos APT e criminosos. A [[Arctic Wolf]] observou atores de ameaça baixando arquivos de configuração e criando contas de administrador privilegiadas em campanhas amplas imediatamente após a divulgação. **Grupos de ameaça utilizando:** - [[g0096-apt41]] - grupo chinês que explora sistematicamente vulnerabilidades em dispositivos de rede Fortinet - [[g0069-mango-sandstorm]] - grupo iraniano com histórico documentado de exploração de FortiOS **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - acesso via interface admin exposta - [[t1078-valid-accounts|T1078 - Valid Accounts]] - criação de contas admin persistentes - [[t1005-data-from-local-system|T1005 - Data from Local System]] - exfiltração de configuração do appliance ## Mitigação **Patch oficial:** - Advisory: [Fortinet PSIRT FG-IR-22-377](https://fortiguard.com/psirt/FG-IR-22-377) - FortiOS: atualizar para 7.0.7+ ou 7.2.2+ - FortiProxy: atualizar para 7.0.7+ ou 7.2.2+ - FortiSwitchManager: atualizar para 7.2.1+ **Se comprometimento suspeito:** 1. Realizar instalação limpa - não restaurar de configuração existente (pode conter backdoors) 2. Rotacionar todas as credenciais: usuários locais, VPN, LDAP, RADIUS, certificados 3. Revogar certificados locais expostos na configuração 4. Desativar contas admin não autorizadas imediatamente **Mitigações temporárias:** - Desabilitar interface HTTP/HTTPS administrativa - Limitar IPs com acesso à interface administrativa ## Relevância LATAM/Brasil > [!latam] Impacto Regional > A Fortinet é líder de mercado em firewalls e UTM na América Latina, com o FortiGate sendo o appliance de segurança mais implantado no Brasil. Esta CVE de bypass de autenticação na interface administrativa representa risco crítico para milhares de organizações brasileiras que expõem a interface de gerenciamento na internet - prática infelizmente comum em empresas de médio porte. > > A exploração por grupos como **APT41** (China) e **MuddyWater** (Irã) demonstra que dispositivos Fortinet brasileiros são alvos de operações de espionagem estatal. Setores como **financeiro**, **governo** e **telecomúnicações** no Brasil utilizam FortiOS como primeira linha de defesa, e o comprometimento do appliance expõe toda a configuração de segurança: regras de firewall, credenciais VPN, certificados e chaves pré-compartilhadas IPSec. > > O CERT.br reportou incidentes relacionados a esta vulnerabilidade no Brasil. Organizações que não aplicaram patches e não rotacionaram credenciais após a divulgação devem assumir comprometimento e realizar análise forense completa dos appliances afetados. ## Notas Relacionadas **CVEs relacionados:** [[cve-2024-47575|CVE-2024-47575]] · [[cve-2022-30190|CVE-2022-30190]] · [[cve-2023-27997|CVE-2023-27997]] **Atores explorando:** [[g0096-apt41]] · [[g0069-mango-sandstorm]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] **Setores em risco:** [[financial|financeiro]] · [[government|governo]] · [[critical-infrastructure|infraestrutura crítica]] · [[telecommunications|telecomúnicações]] · [[energy|energia]] ## Referências - [NVD - CVE-2022-40684](https://nvd.nist.gov/vuln/detail/CVE-2022-40684) - [Fortinet PSIRT Advisory FG-IR-22-377](https://fortiguard.com/psirt/FG-IR-22-377) - [Arctic Wolf - Widespread Exploitation](https://arcticwolf.com/resources/blog/CVE-2022-40684-widespread-exploitation-of-critical-fortinet-authentication-bypass-vulnerability/) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)