Hjem > Cyber ​​Nyheder > Fortinet FortiWeb WAF -apparater udsat for alvorlig upatchet fejl
CYBER NEWS

Fortinet FortiWeb WAF -apparater udsat for alvorlig upatchet fejl


Der er en nyligt afsløret upatchet fejl i Fortinets webapplikation firewall -apparater. Sårbarheden kan udnyttes af fjernstyrede godkendte angribere til at udføre ondsindede kommandoer.

Relaterede: Mest udnyttede sårbarheder i 2020: Hackere drager fordel af fjernarbejde

Med andre ord, der er en sårbarhed i OS -kommandoindsprøjtning i FortiWebs administrationsgrænseflade (udgave 6.3.11 og tidligere) som kunne tillade fjernbetjening, godkendte angreb via SAML -serverens konfigurationsside. Fejlen blev opdaget af Rapid7 sikkerhedsforsker William Vu. Det er bemærkelsesværdigt, at sårbarheden er relateret til en tidligere sårbarhed, kendt som CVE-2021-22123.




Først og fremmest, hvad er Fortinet FortiWeb?

Fortinet FortiWeb er en webapplikations firewall (WAF) der fanger både kendte og ukendte bedrifter målrettet mod de beskyttede webapplikationer, før de har mulighed for at udføre.

Men, sårbarheden muliggør et angreb, der er godkendt til enhedens administrationsgrænseflade, at skubbe kommandoer via backticks i feltet "Navn" på SAML -serverens konfigurationsside. Som et resultat af fejlen, kommandoerne udføres som root -brugeren af ​​operativsystemet.

Hvad er virkningen af ​​FortiWeb -sårbarheden?

”En angriber kan udnytte denne sårbarhed til at tage fuldstændig kontrol over den berørte enhed, med de højest mulige privilegier," Siger Rapid7. Udnyttelsen af ​​fejlen kan føre til installation af en vedvarende skal, kryptomineringssoftware eller andet ondsindet program.

”I det usandsynlige tilfælde udsættes ledelsesinterfacet for internettet, de kunne bruge den kompromitterede platform til at nå ud til det berørte netværk ud over DMZ,”Advarer forskerne.
Da en patch ikke er tilgængelig, brugere bør deaktivere FortiWeb -enhedens ledelsesinterface fra upålidelige netværk, herunder internettet.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig