В вашем FortiWeb завелся «trader». И он торгует не акциями, а вашими данными

Fortinet FortiWeb Defused PwnDefend watchTowr Labs Rapid7 уязвимость
В вашем FortiWeb завелся «trader». И он торгует не акциями, а вашими данными
Fortinet FortiWeb Defused PwnDefend watchTowr Labs Rapid7 уязвимость

Цена его услуг — конфиденциальность вашей компании.

image

Активность атакующих вокруг недавно выявленной уязвимости в FortiWeb усиливается, и специалисты фиксируют всё больше случаев создания посторонних учётных записей с максимальными правами. Проблема оказалась достаточно простой для массового применения, поэтому владельцам устройств приходится в срочном порядке проверять конфигурации и закрывать доступ к административным интерфейсам.

Слабое место обнаружено в механизме обработки путей в FortiWeb. Ошибка позволяет обращаться к служебному бинарному файлу через конструкцию с обходом каталогов и выполнять запросы, которые приводят к созданию новых локальных администраторов. Злоумышленники отправляют POST-запросы на особый путь, а полезная нагрузка добавляет новые записи в список управляющих аккаунтов. По данным PwnDefend и Defused, фиксация первых атак произошла 6 октября, после чего попытки взлома стали распространяться по всему миру.

Идентификаторы, появлявшиеся на скомпрометированных устройствах, существенно различались. В отчётах фигурируют имена Testpoint, trader и trader1, а среди использованных паролей встречались варианты с комбинациями символов и цифр. Потоки запросов поступали с множества адресов, включая конкретные узлы и целые диапазоны, фигурировавшие в первых наблюдениях. Это указывает на широкое распределение инфраструктуры, применяемой для обхода защиты.

Команда watchTowr Labs воспроизвела эксплуатацию на тестовых устройствах, продемонстрировав, как неудачная попытка входа сменяется успешной авторизацией после выполнения уязвимого запроса. Специалисты также выложили утилиту, генерирующую административную запись с произвольным именем, созданным на основе UUID. Она предназначена для проверки уязвимости и анализа собственного контура защиты, а не для злоупотреблений.

По данным Rapid7, ошибка затрагивает все сборки FortiWeb до версии 8.0.2 включительно. Обновление, закрывающее проблему, датируется концом октября. Поскольку проблема используется в реальных атаках, владельцам таких систем рекомендуется изучить журналы событий, проверить устройства на наличие незнакомых учётных записей и поиск обращений к пути fwbcgi. Кроме того, важно убедиться, что управляющие интерфейсы не доступны напрямую из сети и ограничены доверенными сегментами или подключением через VPN.