Il y a une faille non corrigée récemment révélée dans les appliances de pare-feu des applications Web de Fortinet. La vulnérabilité pourrait être exploitée par des attaquants distants authentifiés pour exécuter des commandes malveillantes.
en relation: Principales vulnérabilités exploitées dans 2020: Les pirates profitent du travail à distance
En d'autres termes, il existe une vulnérabilité d'injection de commande OS dans l'interface de gestion de FortiWeb (version 6.3.11 et avant) qui pourrait permettre à distance, attaques authentifiées via la page de configuration du serveur SAML. La faille a été découverte par le chercheur en sécurité Rapid7 William Vu. Il est à noter que la vulnérabilité est liée à une vulnérabilité précédente, connu sous le nom de CVE-2021-22123.
Tout d'abord, qu'est-ce que Fortinet FortiWeb?
Fortinet FortiWeb est un pare-feu applicatif web (WAF) qui capture les exploits connus et inconnus ciblant les applications Web protégées avant qu'elles n'aient la possibilité de s'exécuter.
Cependant, la vulnérabilité permet une attaque, qui est authentifié auprès de l'interface de gestion de l'appareil, pour pousser des commandes via des backticks dans le champ "Nom" de la page de configuration du serveur SAML. En raison de la faille, les commandes seront exécutées en tant qu'utilisateur root du système d'exploitation.
Quel est l'impact de la vulnérabilité FortiWeb?
« Un attaquant peut exploiter cette vulnérabilité pour prendre le contrôle total de l'appareil affecté, avec les privilèges les plus élevés possibles," Rapid7 dit. L'exploitation de la faille pourrait conduire à l'installation d'un shell persistant, logiciel de cryptomining ou tout autre programme malveillant.
« Dans le cas improbable où l'interface de gestion est exposée à Internet, ils pourraient utiliser la plate-forme compromise pour atteindre le réseau affecté au-delà de la DMZ,”Avertissent les chercheurs.
Puisqu'un patch n'est pas disponible, les utilisateurs doivent désactiver l'interface de gestion de l'appareil FortiWeb des réseaux non approuvés, y compris internet.