Vulnerabilitate exploatată în Fortinet FortiWeb

O vulnerabilitate de tip path traversal din Fortinet FortiWeb este exploatată în mod activ pentru a crea noi conturi de administrator pe dispozitivele expuse, fără a fi necesară autentificarea.

Aceasta a fost remediată în FortiWeb 8.0.2, iar administratorii sunt îndemnați să actualizeze cât mai curând posibil și să verifice dacă există semne privind accesul neautorizat.

Conform unui studiu, vulnerabilitatea este o eroare de tip path traversal ce afectează următorul endpoint Fortinet:

• /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi

Persoanele rău intenționate trimit cereri HTTP POST către această cale, conținând payload-uri ce creează conturi locale la nivel de administrator pe dispozitivul vizat.

Exploatarea observată de specialiști include mai multe seturi de combinații de username-uri și parole create, cu nume de utilizator precum Testpoint, trader1 și trader. Parolele atribuite conturilor includ 3eMIXX43, AFT3$tH4ck și AFT3$tH4ckmet0d4yaga!n.

Conform unor specialiști, care au testat exploitul pe mai multe versiuni, vulnerabilitatea afectează versiunile FortiWeb 8.0.1 și anterioare.

Deoarece vulnerabilitatea pare să fie exploatată în mod activ, administratorii ar trebui să-și verifice dispozitivele pentru a identifica conturi administrative neobișnuite și să verifice log-urile pentru cereri către calea fwbcgi.

Administratorii ar trebui, de asemenea, să se asigure că aceste interfețe de management nu sunt accesibile de pe internet și sunt restricționate la rețele de încredere sau acces exclusiv prin VPN.

Sursă: https://www.bleepingcomputer.com/news/security/fortiweb-flaw-with-public-poc-actively-exploited-to-create-admin-users/