Kwetsbaarheid in Fortinet FortiWeb actief uitgebuit
Een beveiligingslek in Fortinet FortiWeb wordt momenteel actief uitgebuit om zonder authenticatie nieuwe beheeraccounts aan te maken op kwetsbare apparaten. Het probleem is verholpen in versie 8.0.2 van FortiWeb. Fortinet lijkt echter geen ruchtbaarheid te hebben gegeven aan het lek.
Het uitbuiten van de kwetsbaarheid is op 6 oktober opgemerkt door threat intelligence-bedrijf Defused. Het meldde dat een 'onbekende Fortinet-exploit' werd ingezet voor het aanmaken van beheerdersaccounts op kwetsbare systemen. Sindsdien is het aantal aanvallen toegenomen.
Uit onderzoek van PwnDefend en Defused blijkt nu dat er gebruik wordt gemaakt van een path traversal kwetsbaarheid.
Ook onderzoekers van watchTowr Labs melden dat het lek wordt uitgebuit. Zij tonen op X een video waarin de exploit en een succesvolle inlog met een via het exploit aangemaakt beheerdersaccount worden getoond. watchTowr Labs publiceert ook de FortiWeb Authentication Bypass Artifact Generator, een tool die de kwetsbaarheid probeert uit te buiten door een admin-account aan te maken met een willekeurige gebruikersnaam van acht tekens.
Rapid7 testte de exploit op meerdere versies van FortiWeb. Hieruit blijkt dat FortiWeb-versies 8.0.1 en eerder kwetsbaar zijn. Het lek is gedicht in versie 8.0.2 van de software, die naar verluid eind oktober is uitgebracht. Opvallend is dat er door Fortinet geen melding lijkt te zijn gemaakt van de kwetsbaarheid of het verhelpen hiervan.
FortiWeb is de laatste tijd wel wat vaker in het nieuws inzake kwestsbaarheden die het product wel beschermt voor de systemen erachter, maar niet voor zichzelf. Ze hebben dus nog wat huiswerk te doen zegmaar.
Er zijn meerdere producten die dezelfde basis FortiOS gebruiken (o.a. Gate/Proxy/Web), dus benieuwd of we er meer van gaan horen.
In het algemeen is het te adviseren om management interfaces niet publiekelijk toegankelijk te maken en al helemaal niet aan het grote boze internet. Scanners hebben binnen een dag, vaak eerder, al achterhaald welke versie er draait en welke CVEs actief aanwezig zijn.
Het is niet ingewikkeld, maar het vraagt wel even om wat aandacht.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?