Een beveiligingslek in Fortinet FortiWeb wordt momenteel actief uitgebuit om zonder authenticatie nieuwe beheeraccounts aan te maken op kwetsbare apparaten. Het probleem is verholpen in versie 8.0.2 van FortiWeb. Fortinet lijkt echter geen ruchtbaarheid te hebben gegeven aan het lek.

Het uitbuiten van de kwetsbaarheid is op 6 oktober opgemerkt door threat intelligence-bedrijf Defused. Het meldde dat een 'onbekende Fortinet-exploit' werd ingezet voor het aanmaken van beheerdersaccounts op kwetsbare systemen. Sindsdien is het aantal aanvallen toegenomen.

Uit onderzoek van PwnDefend en Defused blijkt nu dat er gebruik wordt gemaakt van een path traversal kwetsbaarheid.

Ook onderzoekers van watchTowr Labs melden dat het lek wordt uitgebuit. Zij tonen op X een video waarin de exploit en een succesvolle inlog met een via het exploit aangemaakt beheerdersaccount worden getoond. watchTowr Labs publiceert ook de FortiWeb Authentication Bypass Artifact Generator, een tool die de kwetsbaarheid probeert uit te buiten door een admin-account aan te maken met een willekeurige gebruikersnaam van acht tekens.

Rapid7 testte de exploit op meerdere versies van FortiWeb. Hieruit blijkt dat FortiWeb-versies 8.0.1 en eerder kwetsbaar zijn. Het lek is gedicht in versie 8.0.2 van de software, die naar verluid eind oktober is uitgebracht. Opvallend is dat er door Fortinet geen melding lijkt te zijn gemaakt van de kwetsbaarheid of het verhelpen hiervan.