Исследователи предупреждают, что уязвимость обхода пути Fortin | SecAtor

Исследователи предупреждают, что уязвимость обхода пути Fortinet FortiWeb с общедоступным PoC активно эксплуатируется для создания новых административных пользователей на уязвимых устройствах без необходимости аутентификации.

Эксплуатация была впервые обнаружена компанией Defused 6 октября, которая сообщила о «неизвестном эксплойте Fortinet», используемом в отношении уязвимых устройств для создания учетных записей администраторов.

С тех пор число атак возросло, и злоумышленники теперь реализуют эту уязвимость по всему миру.

Согласно новому исследованию PwnDefend и Defused, уязвимость представляет собой проблему обхода пути, затрагивающую следующую конечную точку Fortinet: /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi.

Злоумышленники отправляют по этому пути HTTP-запросы POST, содержащие полезную нагрузку, которая создает локальные учетные записи уровня администратора на целевом устройстве.

Эксплуатация, обнаруженная исследователями, включает в себя несколько наборов созданных комбинаций имён пользователей и паролей, в том числе: Testpoint, trader1 и trader.

Пароли, назначенные учётным записям, включают 3eMIXX43, AFT3$tH4ck и AFT3$tH4ckmet0d4yaga!n.

Атаки осуществлялись с широкого спектра IP-адресов: 107.152.41.19, 144.31.1.63, адреса в диапазоне 185.192.70.0/24 и 64.95.13.8 (из оригинального октябрьского отчета).

Исследователи из watchTowr Labs подтвердили наличие эксплойта, опубликовав на X видео с демонстрацией его работы и успешного входа в систему в качестве вновь созданного пользователя-администратора.

watchTowr также представила инструмент под названием FortiWeb Authentication Bypass Artifact Generator, укоторый призван помочь админам обнаружить уязвимые устройства.

Он пытается проэксплуатировать уязвимость, создавая пользователя-администратора с 8-символьным случайным именем пользователя, полученным из UUID.

По данным Rapid7, протестировавшей эксплойт в нескольких версиях, уязвимость затрагивает FortiWeb версии 8.0.1 и более ранние.

Уязвимость была исправлена в 8.0.2, которая, предположительно, вышла в конце октября.

Самое интересное, что не удалось найти никаких сведений об уязвимости FortiWeb на сайте PSIRT Fortinet, которые соответствовали бы той, которая эксплуатируется. В компании пока вообще не комментируют ситуацию.

Поскольку уязвимость, по всей видимости, активно эксплуатируется в реальных условиях, администраторам следует проверить свои устройства на наличие необычных административных учетных записей, проверить журналы на наличие запросов к пути fwbcgi и расследовать любую активность с выявленных подозрительных IP-адресов.

Администраторы также должны убедиться, что эти интерфейсы управления недоступны из Интернета, а подключение к ним разрешено только из доверенных сетей или через VPN.