Rate this post


Fortinet FortiWeb WAF

Des détails ont émergé sur une nouvelle vulnérabilité de sécurité non corrigée dans les appliances de pare-feu d’application Web (WAF) de Fortinet qui pourrait être exploitée par un attaquant distant et authentifié pour exécuter des commandes malveillantes sur le système.

« Une vulnérabilité d’injection de commande du système d’exploitation dans l’interface de gestion de FortiWeb (version 6.3.11 et antérieure) peut permettre à un attaquant distant et authentifié d’exécuter des commandes arbitraires sur le système, via la page de configuration du serveur SAML », cabinet de cybersécurité Rapid7 mentionné dans un avis publié mardi. « Cette vulnérabilité semble être liée à CVE-2021-22123, qui a été abordé dans FG-IR-20-120.”

Équipes de débordement de pile

Rapid7 a déclaré avoir découvert et signalé le problème en juin 2021. Fortinet devrait publier un correctif fin août avec la version Fortiweb 6.4.1.

La faille d’injection de commande n’a pas encore reçu d’identifiant CVE, mais elle a un indice de gravité de 8,7 sur le système de notation CVSS. L’exploitation réussie de la vulnérabilité peut permettre à des attaquants authentifiés d’exécuter des commandes arbitraires en tant qu’utilisateur root sur le système sous-jacent via la page de configuration du serveur SAML.

“Un attaquant peut exploiter cette vulnérabilité pour prendre le contrôle total de l’appareil affecté, avec les privilèges les plus élevés possibles”, a déclaré Tod Beardsley de Rapid7. “Ils pourraient installer un shell persistant, un logiciel de crypto-mining ou d’autres logiciels malveillants. Dans le cas peu probable où l’interface de gestion serait exposée à Internet, ils pourraient utiliser la plate-forme compromise pour accéder au réseau affecté au-delà de la DMZ.”

Rapid7 avertit également que bien que l’authentification soit une condition préalable à l’exécution de commandes arbitraires, l’exploit pourrait être enchaîné avec une faille de contournement d’authentification, telle que CVE-2020-29015. Dans l’intervalle, il est conseillé aux utilisateurs de bloquer l’accès à l’interface de gestion de l’appareil FortiWeb à partir de réseaux non approuvés, notamment en prenant des mesures pour empêcher l’exposition directe à Internet.

Gestion des mots de passe d'entreprise

Bien qu’il n’y ait aucune preuve que le nouveau problème de sécurité ait été exploité à l’état sauvage, il convient de noter que les serveurs Fortinet non corrigés ont été une cible lucrative pour les acteurs de la menace à motivation financière et parrainés par l’État.

Plus tôt en avril, le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) averti des groupes de menaces persistantes avancées ciblant les serveurs Fortinet FortiOS en exploitant CVE-2018-13379, CVE-2020-12812, et CVE-2019-5591 compromettre des systèmes appartenant à des entités gouvernementales et commerciales.

Le même mois, la société russe de cybersécurité Kaspersky révélé que les acteurs de la menace ont exploité la vulnérabilité CVE-2018-13379 dans les serveurs VPN FortiGate pour accéder aux réseaux d’entreprise dans les pays européens pour déployer le ransomware Cring.



Leave a Reply