Een kwetsbaarheid in Fortinet FortiWeb wordt wereldwijd actief misbruikt om zonder authenticatie nieuwe beheeraccounts aan te maken op apparaten die direct vanaf internet bereikbaar zijn.
Het gaat om een path traversal die het mogelijk maakt een intern CGI-script aan te roepen via het beheerpad. Onderzoekers zien dat aanvallers grote aantallen apparaten scannen en bestoken met geautomatiseerde verzoeken, waarbij elk systeem dat de beheerinterface open heeft direct wordt geraakt.
Volgens BleepingComputer is de fout inmiddels verholpen in FortiWeb 8.0.2, een versie die eind oktober verscheen. Fortinet heeft echter geen enkele publicatie gedaan die uitlegt wat er precies is gerepareerd. Er is geen CVE, geen PSIRT-advisory en geen toelichting op de aard of ernst van de kwetsbaarheid. Daardoor is de kans groot dat organisaties te laat hebben doorgehad dat de update een beveiligingspatch bevatte en dat zij gedurende weken of zelfs maanden kwetsbare systemen hebben gebruikt.
De manier waarop de exploit wordt uitgevoerd, is relatief eenvoudig. Aanvallers sturen een POST-verzoek naar het endpoint “/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi”.
De path traversal zorgt ervoor dat het apparaat de onderliggende CGI-functie uitvoert, waarna de payload een nieuw lokaal administrator-account aanmaakt. Onderzoekers hebben meerdere gebruikersnamen gezien die zo worden aangemaakt. Voorbeelden zijn Testpoint, trader en trader1.
Ook wachtwoorden als 3eMIXX43 en AFT3$tH4ck doken op in de logs van getroffen systemen. De aanvallen komen uit uiteenlopende netwerken. BleepingComputer noemt onder meer het adres 107.152.41.19, een host in de 185.192.70.0/24-range en een eerder gemeld adres, 64.95.13.8.
Wereldwijde scan- en spraycampagnes zichtbaar
Het misbruik wordt op steeds grotere schaal waargenomen. Securitybedrijven zien dat het niet gaat om gerichte aanvallen op specifieke organisaties, maar om een wereldwijde spray-campagne. Die probeert elk publiek toegankelijk FortiWeb-systeem te treffen. Dit is vooral relevant voor datacenters, managed service providers en andere multi-tenant-omgevingen. Dit, omdat een gecompromitteerde FortiWeb daar potentieel meerdere klanten tegelijk kan raken.
De rol van FortiWeb als web application firewall maakt de impact bovendien groter dan een enkel apparaat: wie toegang heeft tot het beheerplatform, heeft vaak ook inzicht in of invloed op achterliggende applicaties.
BleepingComputer meldt dat Fortinet nog niet reageerde op vragen over de kwetsbaarheid en dat er geen officiële documentatie beschikbaar is die de fout beschrijft. Totdat Fortinet met duidelijkheid komt, zijn organisaties aangewezen op eigen controles.
Het is verstandig om onmiddellijk te updaten naar versie 8.0.2 of hoger, bestaande logbestanden door te lopen op verdachte POST-verzoeken naar het genoemde pad, en te controleren of er onverwachte beheeraccounts zijn aangemaakt. Ook is het raadzaam om te verifiëren dat de beheerinterface van FortiWeb niet zonder noodzaak openbaar toegankelijk is.