Se revela la vulnerabilidad de Fortinet FortiWeb. Sin parche todavía
Fortinet promete lanzar pronto una solución para una vulnerabilidad de inyección de comando de día 0 encontrada en Fortinet FortiWeb (WAF). Aprovechar con éxito este problema permite que un atacante autenticado ejecute comandos arbitrarios como root a través de la página de configuración del servidor SAML.
La vulnerabilidad que afecta a Fortinet FortiWeb versión 6.3.11 (y anteriores) fue descubierta por expertos de Rapid7. Al problema aún no se le ha asignado una ID de CVE, pero los investigadores advierten que un atacante podría usarla para obtener el control total del dispositivo vulnerable con los privilegios más altos posibles. Según ellos, el nuevo error es una variación de la vulnerabilidad CVE-2021-22123 , que se corrigió en Fortinet FortiWeb este verano.
Aunque la explotación del error requiere autenticación, se observa que, para empezar, un atacante puede aprovechar, por ejemplo, el problema CVE-2020-29015 , que se solucionó a principios de 2021, y obtener un control total sobre los servidores vulnerables. .
“[El atacante] podrá instalar un shell persistente, software de minería de criptomonedas u otro malware. En el improbable caso de que la interfaz de administración esté abierta al acceso a través de Internet, la plataforma comprometida se puede utilizar para acceder a la red vulnerable fuera de la DMZ ”, escribe Rapid7.
Dado que aún no hay un parche para el nuevo problema, se recomienda a los administradores que bloqueen el acceso a la interfaz de administración de FortiWeb desde redes que no sean de confianza (incluida Internet).
Los expertos de Rapid7 escribieron que la relación con los desarrolladores de Fortinet resultó ser casi unidireccional y nunca recibieron ninguna información de la compañía sobre el parche. Los investigadores expresaron la esperanza de que la vulnerabilidad se solucione pronto.
En respuesta a la divulgación de la vulnerabilidad, los funcionarios de Fortinet emitieron un comunicado de prensa oficial que indica que Rapid7 reveló el error antes del final del período generalmente aceptado de 90 días para la divulgación responsable. La compañía se disculpó con los clientes y prometió darse prisa, publicando una solución antes del final de esta semana.
Un portavoz de Rapid7 admite que la divulgación ocurrió solo 68 días después de que se descubrió la vulnerabilidad, pero solo porque los representantes de Fortinet dejaron de responder a los investigadores y no tenían ningún dato sobre el lanzamiento del parche.