Fortinet的網(wǎng)絡(luò)應用防火墻(WAF)平臺(即FortiWeb)披露了一個未修補的操作系統(tǒng)命令注入安全漏洞����。研究人員說�,它可能會允許用戶進行權(quán)限升級和完全接管設(shè)備。
FortiWeb是一個網(wǎng)絡(luò)安全防御平臺���,旨在保護關(guān)鍵業(yè)務的網(wǎng)絡(luò)應用免受黑客的各種攻擊�。據(jù)Fortinet稱���,該防火墻目前已經(jīng)進行了更新的功能部署�,增加了新的Web APIs�����。
該漏洞(CVE待定)存在于FortiWeb的管理界面(6.3.11及之前的版本)�����,CVSSv3基礎(chǔ)評分為8.7分(滿分10分)���,屬于高嚴重程度���。據(jù)發(fā)現(xiàn)該漏洞的Rapid7研究人員William Vu說����,它可以讓遠程的經(jīng)過驗證的攻擊者通過SAML服務器配置頁面在系統(tǒng)上執(zhí)行任意命令����。
根據(jù)安全人員在星期二對這個問題的描述:"請注意,雖然只有通過認證才可以利用這個漏洞�����,但這個漏洞可以與另一個認證繞過漏洞結(jié)合起來使用�����,如CVE-2020-29015"�。
一旦攻擊者通過了認證進到了FortiWeb設(shè)備的管理界面,他們可以在SAML服務器配置頁面的 "名稱 "字段中使用回車鍵輸入命令����。然后,這些命令會以底層操作系統(tǒng)的root用戶身份執(zhí)行����。
攻擊者可以利用這個漏洞,并且以盡可能高的權(quán)限完全控制受影響的設(shè)備�����,他們可能會安裝一個有持久性功能的工具�、加密貨幣挖掘軟件或其他惡意軟件。
如果管理界面暴露在互聯(lián)網(wǎng)上���,損失可能會更大�。Rapid7指出�����,在這種情況下�,攻擊者可能會滲透到更深層的網(wǎng)絡(luò)中。然而����,Rapid7的研究人員發(fā)現(xiàn)有三百臺左右的設(shè)備似乎正處于這樣的情況。
在分析中����,Vu提供了一個概念驗證的利用代碼��,它使用了HTTP POST請求和響應技術(shù)�����。
鑒于這一漏洞的披露����,F(xiàn)ortinet已經(jīng)加快了FortiWeb 6.4.1的漏洞修復計劃�。原計劃在8月底發(fā)布,現(xiàn)在將在本周末發(fā)布����。
該公司在提供給Threatpost的一份聲明中說:"我們正在努力向客戶提供關(guān)于解決方法的通知,并打算在本周末前發(fā)布補丁����!
該公司還指出���,鑒于行業(yè)內(nèi)的漏洞披露規(guī)范����,Rapid7的披露有點令人驚訝。
Fortinet現(xiàn)在已經(jīng)認識到獨立安全研究人員的重要作用�,他們與供應商密切合作,按照他們的披露政策來保護網(wǎng)絡(luò)安全生態(tài)系統(tǒng)��。除了與研究人員直接溝通外��,我們的披露政策在Fortinet PSIRT政策頁面上有明確的規(guī)定����,其中包括要求漏洞提交者嚴格保密����,直到為客戶提供完整的解決方案為止。因此��,我們曾希望Rapid7在我們的90天漏洞披露窗口期結(jié)束前對該信息保密�。 我們感到遺憾的是,在這種情況下�����,個別研究人員在90天窗口前在沒有任何通知的情況下漏洞就被完全披露了���。
目前��,Rapid7提供很有建設(shè)性的建議��。
據(jù)Rapid7稱:"在沒有補丁的情況下�,建議用戶在不受信任的網(wǎng)絡(luò)中禁用FortiWeb設(shè)備的管理界面,同時也包括互聯(lián)網(wǎng)����。一般來說,像FortiWeb這樣的設(shè)備的管理界面不應該直接暴露在互聯(lián)網(wǎng)上����,相反,它們應該只能通過受信任的內(nèi)部網(wǎng)絡(luò)或通過安全的VPN隧道來連接������!
Rapid7研究人員說,該漏洞似乎與CVE-2021-22123有關(guān)�,并且該漏洞已在6月被修補了。
Fortinet:很受歡迎的漏洞
該供應商產(chǎn)品的安全漏洞并不少見�����,F(xiàn)ortinet的網(wǎng)絡(luò)安全產(chǎn)品經(jīng)常被網(wǎng)絡(luò)攻擊者(包括民族國家攻擊行為者)攻擊�。用戶應該迅速準備打補丁。
4月,聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)警告說����,各種高級持續(xù)威脅(APT)正在積極利用Fortinet SSL VPN的三個安全漏洞進行間諜活動。他們警告說���,CVE-2018-13379�、CVE-2019-5591和CVE-2020-12812的漏洞經(jīng)常被用來在網(wǎng)絡(luò)中獲得跳板機�,然后再橫向移動并進行網(wǎng)絡(luò)偵察。
其中FortiOS中的Fortinet漏洞��,也被安全研究人員視為是一種新的投放勒索軟件的漏洞���,其受害者通常是歐洲的工業(yè)企業(yè)。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
