Af Eskil Sørensen, 18/08/21
Fortinet har udskudt sin patching af en 0-dagssårbarhed, der findes i FortiWeb-webprogrammets firewall (WAF) indtil slutningen af august. Det skriver Bleeping Computer.
Der er tale om en ’command injection’-sårbarhed, dvs. en sårbarhed der kan tillade, at godkendte angribere afvikler kommander som ’root user’ på det underliggende system via SAML-serverens konfigurationsside. At være root user betyder, at man har de højeste rettigheder i et system.
Ganske vist kræver udnyttelse af sårbarheden, at evt. angribere skal godkendes til at kunne få adgang til administrationsgrænsefladen på den pågældende FortiWeb-enhed. Men andre fejl som fx authentification bypass, som der aktuelt findes i CVE-id’et CVE-2020-29015, kan udnyttes til at tage fuld kontrol over sårbare servere. Med dette kan en angriber udnytte sårbarhed til at tage fuldstændig kontrol over den berørte enhed med det højest mulige privilegium, forklarer virksomheden bag fundet Rapid7, ifølge Bleeping Computer.
Selve 0-dagssårbarheden, der endnu ikke har fået et CVE-id, påvirker påvirker Fortinet FortiWeb-versioner 6.3.11 og tidligere.
Mitigering mulig
Eftersom opdateringen og dermed muligheden for at eliminere risikoen ikke er tilgængelig endnu, anbefales det ifølge Bleeping Computer, at administratorer blokerer for adgangen til FortiWeb-enhedens administrationsinterface fra upålidelige netværk (dvs. internettet). Det tilføjes, at enheder kun bør være tilgængelige via interne netværk eller en sikker VPN-forbindelse. Dermed blokeres trusselsaktørers adgang til at kunne udnytte sårbarheden.
Det fremgår endvidere, at upatchede Fortinet-servere er attraktive mål for finansielt motiverede og statsstøttede trusselsaktører. Fx har en sårbarhed i Fortinet SSL VPN været anvendt til at kompromittere internet-eksponerede amerikanske valgsystemer, og FBI og CISA har tidligere udsendt advarsler om, at statsstøttede hackergrupper har forsøgt at få adgang til Fortinet-apparater ved at udnytte sårbarheder i FortiOS.
Links: