Fortinet FortiWeb OS Command Injection permite controle remoto de servidores

Um invasor autenticado pode executar comandos arbitrários como usuário raiz no sistema subjacente por meio da página de configuração do servidor SAML. Os especialistas apontaram que a falha pode estar ligada a uma falha de desvio de autenticação que pode permitir que um invasor

A vulnerabilidade afeta o Fortinet FortiWeb versões 6.3.11 e anteriores, um invasor autenticado pode explorar o problema para assumir o controle total dos servidores que executam versões vulneráveis ​​do FortiWeb WAF.

Um invasor autenticado pode executar comandos arbitrários como usuário raiz no sistema subjacente por meio da página de configuração do servidor SAML. Os especialistas apontaram que a falha pode ser ligada a uma falha de desvio de autenticação (por exemplo, CVE-2020-29015 ) para permitir que um invasor não autenticado acione a vulnerabilidade.

A vulnerabilidade foi relatada pelo pesquisador William Vu do Rapid7.

“Um invasor, que é primeiro autenticado na interface de gerenciamento do dispositivo FortiWeb, pode contrabandear comandos usando crases no campo“ Nome ”da página de configuração do servidor SAML. Esses comandos são executados como o usuário raiz do sistema operacional subjacente. ” lê a postagem publicada pela Rapid7. “Um invasor pode aproveitar essa vulnerabilidade para assumir o controle total do dispositivo afetado, com os maiores privilégios possíveis. “

A falha pode permitir que um invasor implante um shell persistente, instale um software de mineração de criptografia ou outras famílias de malware. Se a interface de gerenciamento for exposta à Internet, um invasor pode acionar o problema para alcançar a rede afetada além da DMZ. Os pesquisadores do Rapid7 descobriram menos de trezentos dispositivos expondo suas interfaces de gerenciamento online. Vamos lembrar que interfaces de gerenciamento para dispositivos como FortiWeb não devem ser expostas online!

Esperando por um patch que resolva a falha, os usuários são recomendados para desativar a interface de gerenciamento do dispositivo FortiWeb de redes não confiáveis.

Esses tipos de dispositivos só devem ser alcançados por meio de redes internas confiáveis ​​ou de uma conexão VPN segura.

Abaixo está o cronograma de divulgação para este problema:

• Junho de 2021: Problema descoberto e validado por William Vu da Rapid7
• Qui, 10 de junho de 2021: divulgação inicial ao fornecedor por meio do formulário de contato PSIRT
• Sex, 11 de junho de 2021: Reconhecido pelo fornecedor (tíquete 132097)
• Quarta, 11 de agosto de 2021: Acompanhamento com o fornecedor
• Ter, 17 de agosto de 2021: divulgação pública por meio deste post
• Ter, 17 de agosto de 2021: o fornecedor indicou que o Fortiweb 6.4.1 deve incluir uma correção e será lançado no final de agosto

Fonte: https://securityaffairs.co/