文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Fortinet未修补的漏洞会导致防火墙被攻击

2024-12-14 00:59

关注

Fortinet的网络应用防火墙(WAF)平台(即FortiWeb)披露了一个未修补的操作系统命令注入安全漏洞。研究人员说,它可能会允许用户进行权限升级和完全接管设备。

FortiWeb是一个网络安全防御平台,旨在保护关键业务的网络应用免受黑客的各种攻击。据Fortinet称,该防火墙目前已经进行了更新的功能部署,增加了新的Web APIs。

该漏洞(CVE待定)存在于FortiWeb的管理界面(6.3.11及之前的版本),CVSSv3基础评分为8.7分(满分10分),属于高严重程度。据发现该漏洞的Rapid7研究人员William Vu说,它可以让远程的经过验证的攻击者通过SAML服务器配置页面在系统上执行任意命令。

根据安全人员在星期二对这个问题的描述:"请注意,虽然只有通过认证才可以利用这个漏洞,但这个漏洞可以与另一个认证绕过漏洞结合起来使用,如CVE-2020-29015"。

一旦攻击者通过了认证进到了FortiWeb设备的管理界面,他们可以在SAML服务器配置页面的 "名称 "字段中使用回车键输入命令。然后,这些命令会以底层操作系统的root用户身份执行。

攻击者可以利用这个漏洞,并且以尽可能高的权限完全控制受影响的设备,他们可能会安装一个有持久性功能的工具、加密货币挖掘软件或其他恶意软件。

如果管理界面暴露在互联网上,损失可能会更大。Rapid7指出,在这种情况下,攻击者可能会渗透到更深层的网络中。然而,Rapid7的研究人员发现有三百台左右的设备似乎正处于这样的情况。

在分析中,Vu提供了一个概念验证的利用代码,它使用了HTTP POST请求和响应技术。

鉴于这一漏洞的披露,Fortinet已经加快了FortiWeb 6.4.1的漏洞修复计划。原计划在8月底发布,现在将在本周末发布。

该公司在提供给Threatpost的一份声明中说:"我们正在努力向客户提供关于解决方法的通知,并打算在本周末前发布补丁。”

该公司还指出,鉴于行业内的漏洞披露规范,Rapid7的披露有点令人惊讶。

Fortinet现在已经认识到独立安全研究人员的重要作用,他们与供应商密切合作,按照他们的披露政策来保护网络安全生态系统。除了与研究人员直接沟通外,我们的披露政策在Fortinet PSIRT政策页面上有明确的规定,其中包括要求漏洞提交者严格保密,直到为客户提供完整的解决方案为止。因此,我们曾希望Rapid7在我们的90天漏洞披露窗口期结束前对该信息保密。 我们感到遗憾的是,在这种情况下,个别研究人员在90天窗口前在没有任何通知的情况下漏洞就被完全披露了。

目前,Rapid7提供很有建设性的建议。

据Rapid7称:"在没有补丁的情况下,建议用户在不受信任的网络中禁用FortiWeb设备的管理界面,同时也包括互联网。一般来说,像FortiWeb这样的设备的管理界面不应该直接暴露在互联网上,相反,它们应该只能通过受信任的内部网络或通过安全的VPN隧道来连接。”

Rapid7研究人员说,该漏洞似乎与CVE-2021-22123有关,并且该漏洞已在6月被修补了。

Fortinet:很受欢迎的漏洞

该供应商产品的安全漏洞并不少见,Fortinet的网络安全产品经常被网络攻击者(包括民族国家攻击行为者)攻击。用户应该迅速准备打补丁。

4月,联邦调查局和网络安全和基础设施安全局(CISA)警告说,各种高级持续威胁(APT)正在积极利用Fortinet SSL VPN的三个安全漏洞进行间谍活动。他们警告说,CVE-2018-13379、CVE-2019-5591和CVE-2020-12812的漏洞经常被用来在网络中获得跳板机,然后再横向移动并进行网络侦察。

其中FortiOS中的Fortinet漏洞,也被安全研究人员视为是一种新的投放勒索软件的漏洞,其受害者通常是欧洲的工业企业。

本文翻译自:https://threatpost.com/holeswarm-malware-windows-linux/168759/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯