Bug não corrigido Fortinet permite acessos de firewall - Gustavo Kennedy Renkel

O bug de injeção de comando do sistema, na plataforma de firewall de aplicativos web (WAF), conhecida como FortiWeb, receberá um patch esta semana.

ATUALIZAÇÃO

Uma vulnerabilidade de segurança de injeção de comando do SO não reparada foi divulgada na plataforma WAF (Web Application firewall, firewall de aplicativos web) da Fortinet, conhecida como FortiWeb. Isso poderia permitir a escalada de privilégios e a aquisição total de dispositivos, disseram os pesquisadores.

A FortiWeb é uma plataforma de defesa de segurança cibernética, destinada a proteger aplicativos web críticos aos negócios contra ataques que visam vulnerabilidades conhecidas e desconhecidas. O firewall tem sido para acompanhar a implantação de recursos novos ou atualizados, ou a adição de novas APIs web, de acordo com fortinet.

O bug (CVE pendente) existe na interface de gerenciamento do FortiWeb (versão 6.3.11 e anterior), e carrega uma pontuação base CVSSv3 de 8,7 de 10, tornando-a de alta gravidade. Ele pode permitir que um invasor remoto e autenticado execute comandos arbitrários no sistema, através da página de configuração do servidor SAML, de acordo com o pesquisador do Rapid7 William Vu, que descobriu o bug.

“Observe que, embora a autenticação seja um pré-requisito para essa exploração, essa vulnerabilidade pode ser combinada com outro problema de autenticação-bypass, como o CVE-2020-29015“, de acordo com uma gravação de terça-feira sobre o assunto.

Uma vez que os invasores são autenticados à interface de gerenciamento do dispositivo FortiWeb, eles podem contrabandear comandos usando backticks no campo “Name” da página de configuração do SERVIDOR SAML. Esses comandos são então executados como o usuário raiz do sistema operacional.

“Um invasor pode aproveitar essa vulnerabilidade para assumir o controle completo do dispositivo afetado, com os maiores privilégios possíveis”, de acordo com a gravação. “Eles podem instalar um shell persistente, software de mineração cripto ou outro software malicioso.”

O dano pode ser pior se a interface de gerenciamento for exposta à internet: o Rapid7 observou que os atacantes poderiam acessar a rede mais ampla nesse caso. No entanto, os pesquisadores do Rapid7 identificaram menos de trezentos aparelhos que pareciam estar fazendo isso.

Na análise, a Vu forneceu um código de exploração de prova de conceito, que usa uma solicitação e resposta HTTP POST.

A Fortinet acelerou os planos de lançar uma correção para o problema com o FortiWeb 6.4.1 — originalmente planejado para o final de agosto, ele agora estará disponível até o final da semana.

“Estamos trabalhando para fornecer notificação imediata de uma solução alternativa aos clientes e um patch liberado até o final da semana”, disse em um comunicado.

A empresa também observou que a divulgação da Rapid7 foi um pouco de surpresa, dadas as normas de divulgação de vulnerabilidades no setor.

“A segurança de nossos clientes é sempre nossa prioridade. Fortinet reconhece o importante papel de pesquisadores independentes de segurança que trabalham em estreita colaboração com fornecedores para proteger o ecossistema de cibersegurança em alinhamento com suas políticas de divulgação responsável.

Além de se comunicar diretamente com os pesquisadores, nossa política de divulgação está claramente delineada na página da Fortinet PSIRT Policy, que inclui pedir aos subsetores de incidentes para manter uma confidencialidade estrita até que resoluções completas estejam disponíveis para os clientes. Como tal, esperávamos que o Rapid7 realizasse quaisquer descobertas antes do fim da nossa janela de divulgação responsável de 90 dias. Lamentamos que, neste caso, a pesquisa individual tenha sido totalmente divulgada sem notificação adequada antes da janela de 90 dias.”

Por enquanto, a Rapid7 ofereceu conselhos simples:

“Na ausência de um patch, os usuários são aconselhados a desativar a interface de gerenciamento do dispositivo FortiWeb de redes não confiáveis, o que incluiria a internet”, de acordo com a Rapid7.

“De um modo geral, as interfaces de gerenciamento de dispositivos como o FortiWeb não devem ser expostas diretamente à internet de qualquer maneira — em vez disso, elas devem ser acessíveis apenas através de redes internas confiáveis ou sobre uma conexão VPN segura.”

Os pesquisadores do Rapid7 disseram que a vulnerabilidade parece estar relacionada ao CVE-2021-22123, que foi corrigido em junho.

Fortinet: Popular para Exploração

Os produtos de cibersegurança da Fortinet são populares com exploração com ciberataques. Os usuários devem se preparar para corrigir rapidamente.

Em abril, o FBI e a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) alertaram que várias ameaças persistentes avançadas (APTs) estavam explorando ativamente três vulnerabilidades de segurança na VPN Fortinet SSL para espionagem.

Explorações para CVE-2018-13379, CVE-2019-5591 e CVE-2020-12812 estavam sendo usadas para ganhar uma posição dentro das redes, alertaram.

Um desses bugs, uma vulnerabilidade Fortinet no FortiOS, também foi visto sendo usado para fornecer uma nova variedade de ransomware, apelidada de Cring, que tem como alvo empresas industriais em toda a Europa.