Fortinet公司FortiWeb WAF中披露了未修复的远程执行漏洞

关于 Fortinet 的 Web 应用程序防火墙 (WAF) 设备中一个新的未修补安全漏洞的详细信息已经出现，经过身份验证的攻击者可能会滥用该漏洞在系统上执行恶意命令。

“FortiWeb 管理界面（版本 6.3.11 及更早版本）中的操作系统命令注入漏洞可以允许远程、经过身份验证的攻击者通过 SAML 服务器配置页面在系统上执行任意命令，”网络安全公司 Rapid7在周二发布的一份咨询报告中表示. “此漏洞似乎与CVE-2021-22123相关，已在FG-IR-20-120 中解决。”

Rapid7 表示已于 2021 年 6 月发现并报告了该问题。 Fortinet 预计将在 8 月底发布 Fortiweb 6.4.1 版本的补丁。

命令注入漏洞尚未分配 CVE 标识符，但它在 CVSS 评分系统上的严重性等级为 8.7。成功利用该漏洞可允许经过身份验证的攻击者通过 SAML 服务器配置页面以 root 用户身份在底层系统上执行任意命令。

“攻击者可以利用这个漏洞以尽可能高的权限完全控制受影响的设备，”Rapid7 的 Tod Beardsley 说。“他们可能会安装持久性外壳、加密挖掘软件或其他恶意软件。万一管理界面暴露在互联网上，他们可能会使用受感染的平台进入 DMZ 以外的受影响网络。”

Rapid7 还警告说，虽然身份验证是实现任意命令执行的先决条件，但该漏洞可能与身份验证绕过缺陷相关联，例如CVE-2020-29015。在此期间，建议用户阻止从不受信任的网络访问 FortiWeb 设备的管理界面，包括采取措施防止直接暴露于互联网。

尽管没有证据表明新的安全问题已被广泛利用，但值得注意的是，未打补丁的 Fortinet 服务器一直是有经济动机和国家资助的威胁行为者的有利可图的目标。

今年 4 月初，美国联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA)警告称，高级持续威胁组织会利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591来破坏属于政府和商业实体的系统。

同月，俄罗斯网络安全公司卡巴斯基透露，攻击者利用 FortiGate VPN 服务器中的 CVE-2018-13379 漏洞访问欧洲国家的企业网络，以部署 Cring 勒索软件。