Fortinet的Web应用程序防火墙(WAF)平台,称为FortiWeb,已披露一个未修补的操作系统命令注入安全漏洞。研究人员说,它可以让用户提升权限并完全接管设备。FortiWeb是一个网络安全防御平台,旨在保护关键业务网络应用免受黑客的各种攻击。据Fortinet称,防火墙现在已经部署了更新的功能,添加了新的WebAPI。该漏洞(CVE待定)存在于FortiWeb(6.3.11及之前版本)的管理界面,CVSSv3基础评分为8.7分(满分10分),属于高危。据发现该漏洞的Rapid7研究员WilliamVu称,它可能允许经过身份验证的远程攻击者通过SAML服务器配置页面在系统上执行任意命令。根据周二安全人员对该问题的描述:“请注意,虽然此漏洞只能通过身份验证来利用,但此漏洞可以与另一个身份验证绕过漏洞(例如CVE-2020-29015)结合使用”。一旦攻击者通过FortiWeb设备管理界面的身份验证,他们就可以使用SAML服务器配置页面的“名称”字段中的Enter键输入命令。这些命令随后以底层操作系统的根用户身份执行。攻击者可以利用此漏洞并以尽可能高的权限完全控制受影响的设备,方法可能是安装持久性工具、加密货币挖掘软件或其他恶意软件。如果管理界面暴露在互联网上,损害可能会更大。Rapid7指出,在这种情况下,攻击者可以更深入地渗透到网络中。然而,Rapid7研究人员发现了大约300台设备似乎处于这种情况。在分析中,Vu提供了一个使用HTTPPOST请求和响应技术的概念验证漏洞利用代码。针对该漏洞的披露,Fortinet加快了FortiWeb6.4.1的漏洞修复计划。原定于8月底发布,现在将在本周末发布。该公司在提供给Threatpost的一份声明中表示:“我们正在努力向客户提供有关解决方法的通知,并打算在本周末之前发布补丁。”该公司还指出,鉴于行业披露漏洞的规范,Rapid7的披露有些令人意外。Fortinet现在认识到独立安全研究人员的重要作用,他们与供应商密切合作,根据他们的披露政策保护网络安全生态系统。除了与研究人员的直接沟通,我们的披露政策在FortinetPSIRT政策页面上有明确规定,其中包括要求漏洞提交者严格保密,直到向客户提供完整的解决方案。因此,我们曾预计Rapid7会将此信息保密,直到我们的90天漏洞披露窗口期满。我们很遗憾,在这种情况下,该漏洞在90天窗口之前由一名研究人员完全披露,没有任何通知。目前,Rapid7提供了非常有建设性的建议。根据Rapid7的说法:“在没有补丁的情况下,建议用户在不受信任的网络中禁用FortiWeb设备的管理界面,其中也包括互联网。一般来说,像FortiWeb这样的设备的管理界面不应该被直接打开。相反,它们应该只能通过受信任的内部网络或安全的VPN隧道进行连接。”Rapid7研究人员表示,该漏洞似乎与CVE-2021-22123有关,该漏洞已于6月修复。Fortinet:常见漏洞供应商产品中的安全漏洞并不少见,Fortinet的网络安全产品经常成为网络攻击者的目标,包括国家行为者。用户应该准备快速打补丁。4月,美国联邦调查局和网络安全与基础设施安全局(CISA)警告说,各种高级持续威胁(APT)正在积极利用FortinetSSLVPN中的三个安全漏洞进行间谍活动。他们警告说,CVE-2018-13379、CVE-2019-5591和CVE-2020-12812的漏洞经常被用来在横向移动和进行网络侦察之前获取网络中的跳板机。其中,FortiOS中的Fortinet漏洞也被安全研究人员视为传递勒索软件的新漏洞,其受害者通常为欧洲工业企业。本文翻译自:https://threatpost.com/holeswarm-malware-windows-linux/168759/如有转载请注明出处。
