В системах безопасности Fortinet FortiWeb обнаружена активная эксплуатация уязвимости типа обход путей (path traversal), позволяющая создавать административные учетные записи без аутентификации. Эксплойт использует опубликованное доказательство концепции и уже применяется в глобальных атаках.
Описание
Проблема затрагивает FortiWeb версий 8.0.1 и более ранние, тогда как в версии 8.0.2 выпущено исправление. Уязвимость позволяет злоумышленникам отправлять HTTP POST запросы к эндпоинту /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi, содержащие вредоносные полезные нагрузки для создания локальных учетных записей с правами администратора.
Первые признаки эксплуатации были зафиксированы компанией Defused 6 октября, когда обнаружили неизвестный эксплойт против устройств Fortinet. С тех пор атаки усилились, причем злоумышленники начали массово распространять эксплойт по всему миру. Исследователи Дэниел Кард из PwnDefend и Defused подтвердили, что уязвимость представляет собой проблему обхода пути, влияющую на указанный эндпоинт Fortinet.
Наблюдаемые атаки включают создание учетных записей с различными комбинациями имен пользователей и паролей. Среди обнаруженных имен пользователей: Testpoint, trader1 и trader. Пароли включают такие варианты, как 3eMIXX43, AFT3$tH4ck и AFT3$tH4ckmet0d4yaga!n.
Атаки исходят из широкого диапазона IP-адресов, включая 107.152.41[.]19, 144.31.1[.]63, адреса в диапазоне 185.192.70.0/24 и 64.95.13[.]8 из первоначального отчета октября. Исследователи watchTowr Labs подтвердили работоспособность эксплойта.
Компания watchTowr также выпустила инструмент под названием "FortiWeb Authentication Bypass Artifact Generator", который пытается использовать уязвимость путем создания пользователя-администратора со случайным 8-символьным именем, производным от UUID. Разработчики заявили, что инструмент выпущен для помощи защитникам в идентификации уязвимых устройств.
Согласно Rapid7, протестировавшей эксплойт на нескольких версиях, уязвимость затрагивает FortiWeb версий 8.0.1 и ранее. Исправление было включено в версию 8.0.2, которая, предположительно, была выпущена в конце октября. Однако BleepingComputer не удалось найти никакого раскрытия информации об уязвимости FortiWeb на сайте PSIRT Fortinet, соответствующей эксплуатируемой.
Поскольку уязвимость активно эксплуатируется в реальных условиях, администраторам рекомендуется проверить свои устройства на наличие необычных административных учетных записей, изучить логи на предмет запросов к пути fwbcgi и исследовать любую активность с идентифицированных подозрительных IP-адресов. Кроме того, администраторы должны убедиться, что интерфейсы управления недоступны из интернета и ограничены доверенными сетями или доступом только через VPN.
Эксперты отмечают, что уровень воздействия FortiWeb в Shodan выглядит относительно низким, особенно по сравнению с FortiGate. Тем не менее, учитывая критический характер уязвимости и ее активную эксплуатацию, организациям необходимо принять незамедлительные меры по обновлению и проверке своих систем безопасности.
Специалисты по кибербезопасности подчеркивают важность своевременного применения исправлений и мониторинга подозрительной активности. Регулярный аудит учетных записей и анализ журналов событий могут помочь обнаружить потенциальные компрометации на ранних стадиях. Также рекомендуется реализовать принцип минимальных привилегий и сегментировать сетевую инфраструктуру для ограничения потенциального воздействия атак.
Индикаторы компрометации
IPv4
- 107.152.41.19
- 144.31.1.63
- 185.192.70.25
- 185.192.70.31
- 185.192.70.33
- 185.192.70.36
- 185.192.70.39
- 185.192.70.43
- 185.192.70.46
- 185.192.70.49
- 185.192.70.50
- 185.192.70.53
- 185.192.70.57
- 64.95.13.8
- 89.169.55.168
