Han surgido detalles sobre una nueva vulnerabilidad de seguridad sin parchear en los dispositivos de firewall de aplicaciones web (WAF) de Fortinet que podrían ser abusados por un atacante autenticado y remoto para ejecutar comandos maliciosos en el sistema.
«Un sistema operativo vulnerabilidad de inyección de comandos en la interfaz de gestión de FortiWeb (versión 6.3.11 y anteriores) puede permitir que un atacante remoto, no autenticado ejecutar comandos arbitrarios en el sistema, a través de la página de configuración del servidor SAML,» firma de seguridad cibernética Rapid7 dijo en un Martes publicada asesoramiento . «Esta vulnerabilidad parece estar relacionada con CVE-2021-22123 , que se abordó en FG-IR-20-120 «.
Rapid7 dijo que descubrió e informó el problema en junio de 2021. Se espera que Fortinet lance un parche a fines de agosto con la versión Fortiweb 6.4.1.
La falla de inyección de comando aún no se le ha asignado un identificador CVE, pero tiene una clasificación de gravedad de 8,7 en el sistema de puntuación CVSS. La explotación exitosa de la vulnerabilidad puede permitir que atacantes autenticados ejecuten comandos arbitrarios como usuario raíz en el sistema subyacente a través de la página de configuración del servidor SAML.
«Un atacante puede aprovechar esta vulnerabilidad para tomar el control completo del dispositivo afectado, con los privilegios más altos posibles», dijo Tod Beardsley de Rapid7. «Pueden instalar un shell persistente, software de minería criptográfica u otro software malicioso. En el caso poco probable de que la interfaz de administración esté expuesta a Internet, podrían usar la plataforma comprometida para acceder a la red afectada más allá de la DMZ».
Rapid7 también advierte que, si bien la autenticación es un requisito previo para lograr la ejecución de comandos arbitrarios, el exploit podría estar encadenado con una falla de derivación de autenticación, como CVE-2020-29015 . Mientras tanto, se recomienda a los usuarios que bloqueen el acceso a la interfaz de administración del dispositivo FortiWeb desde redes que no sean de confianza, lo que incluye tomar medidas para evitar la exposición directa a Internet.
Aunque no hay evidencia de que el nuevo problema de seguridad haya sido explotado en la naturaleza, vale la pena señalar que los servidores de Fortinet sin parches han sido un objetivo lucrativo tanto para los actores de amenazas motivados financieramente como para los patrocinados por el estado.
A principios de abril, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtieron sobre grupos de amenazas persistentes avanzadas dirigidas a los servidores Fortinet FortiOS al aprovechar CVE-2018-13379 , CVE-2020-12812 y CVE-2019. -5591 para comprometer sistemas pertenecientes a entidades gubernamentales y comerciales.
En el mismo mes, la empresa rusa de ciberseguridad Kaspersky reveló que los actores de amenazas explotaron la vulnerabilidad CVE-2018-13379 en los servidores VPN de FortiGate para obtener acceso a redes empresariales en países europeos para implementar el ransomware Cring.