Au apărut detalii despre o nouă vulnerabilitate de securitate nesecurizată în dispozitivele Fortinet de web application firewall (WAF) care ar putea fi abuzate de un atacator de la distanță autentificat pentru a executa comenzi rău intenționate pe sistem.
„O vulnerabilitate de injecție de comenzii OS în interfața de gestionare a FortiWeb (versiunea 6.3.11 și anterioară) poate permite unui atacator autentificat la distanță să execute comenzi arbitrare pe sistem, prin intermediul paginii de configurare a serverului SAML”, a declarat firma Rapid7 într-un aviz publicat marți . „Această vulnerabilitate pare să fie legată de CVE-2021-22123, care a fost abordată în FG-IR-20-120.”
Rapid7 a declarat că a descoperit și a raportat problema în iunie 2021. Se așteaptă ca Fortinet să lanseze un patch la sfârșitul lunii august cu versiunea FortiWeb 6.4.1.
Defecțiunea de injecție de comenzi nu a primit încă un identificator CVE, dar are un grad de severitate de 8,7 pe sistemul de notare CVSS. Exploatarea cu succes a vulnerabilității poate permite atacatorilor autentificați să execute comenzi arbitrare ca utilizator root pe sistemul de bază prin pagina de configurare a serverului SAML.
„Un atacator poate folosi această vulnerabilitate pentru a prelua controlul complet al dispozitivului afectat, cu cele mai mari privilegii posibile”, a spus Tod Beardsley, Rapid7. „Este posibil să instaleze un shell persistent, un software de crypto mining sau alt software rău intenționat. În cazul puțin probabil în care interfața de gestionare este expusă la internet, ar putea utiliza platforma compromisă pentru a ajunge în rețeaua afectată dincolo de DMZ.”
Rapid7 avertizează, de asemenea, că, deși autentificarea este o condiție prealabilă pentru realizarea executării arbitrare a comenzilor, exploatarea ar putea fi înlănțuită cu un defect de bypass de autentificare, cum ar fi CVE-2020-29015. Între timp, utilizatorii sunt sfătuiți să blocheze accesul la interfața de gestionare a dispozitivului FortiWeb din rețelele de încredere, inclusiv luarea de măsuri pentru a preveni expunerea directă la internet.
Deși nu există dovezi că noua problemă de securitate a fost exploatată în rețelele din lumea reală, merită remarcat faptul că serverele Fortinet fără patch-uri au fost o țintă profitabilă atât pentru actorii de amenințări motivați financiar, cât și pentru cei sponsorizați de stat.
La începutul lunii aprilie, Biroul Federal de Investigații (FBI) și Agenția pentru Securitate Cibernetică și Infrastructură (CISA) au avertizat cu privire la grupurile de amenințări persistente avansate care vizează serverele Fortinet FortiOS prin utilizarea CVE-2018-13379, CVE-2020-12812 și CVE-2019 -5591 pentru a compromite sistemele aparținând entităților guvernamentale și comerciale.
În aceeași lună, compania rusă de securitate cibernetică Kaspersky a dezvăluit că actorii de amenințare au exploatat vulnerabilitatea CVE-2018-13379 în serverele FortiGate VPN pentru a avea acces la rețelele de întreprindere din țările europene pentru a implementa ransomware-ul Cring.
Sursa: The Hacker News
