Fortinet的FortiWeb WAF中披露的未修补远程黑客漏洞

有关Fortinet的web application firewall（WAF）设备中一个新的未修补安全漏洞的详细信息已经浮出水面，该漏洞可能被经过身份验证的远程攻击者滥用，在系统上执行恶意命令。

网络安全公司Rapid7在周二发布的一份咨询报告中表示：“FortiWeb管理界面（6.3.11及之前版本）中存在操作系统命令注入漏洞，使得经过身份验证的远程攻击者能够通过SAML服务器配置页面在系统上执行任意命令。”。“该漏洞似乎与CVE-2021-22123有关，该漏洞已在FG-IR-20-120中解决。”

RAPID7说它在2021年6月发现并报告了这个问题。Fortinet预计将在8月底发布Fortiweb 6.4.1版本的补丁。

命令注入缺陷尚未分配CVE标识符，但在CVSS评分系统上，其严重性等级为8.7。成功利用该漏洞可使经过身份验证的攻击者通过SAML服务器配置页面以root用户身份在基础系统上执行任意命令。

Rapid7的Tod Beardsley说：“攻击者可以利用此漏洞以尽可能高的权限完全控制受影响的设备。”。“他们可能会安装永久性外壳、加密挖掘软件或其他恶意软件。在管理界面不太可能暴露于互联网的情况下，他们可以使用受损的平台进入DMZ以外受影响的网络。”

Rapid7还警告说，虽然身份验证是实现任意命令执行的先决条件，但该漏洞可能与身份验证绕过漏洞相关联，如CVE-2020-29015。在此期间，建议用户阻止不受信任的网络访问FortiWeb设备的管理界面，包括采取措施防止直接接触互联网。

虽然没有证据表明新的安全问题已经在野外被利用，但值得注意的是，未打补丁的Fortinet服务器一直是出于经济动机和国家资助的威胁行为者的有利可图的目标。

今年4月早些时候，联邦调查局（FBI）和网络安全与基础设施安全局（CISA）警告称，先进的持续性威胁组织利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591破坏属于政府和商业实体的系统，以Fortinet FortiOS服务器为目标。

同一个月，俄罗斯网络安全公司卡巴斯基透露，威胁行为人利用FortiGate VPN服务器中的CVE-2018-13379漏洞，进入欧洲国家的企业网络，以部署骇人的勒索软件。

更新：Fortinet与黑客新闻分享了以下声明：

&ldquo；客户的安全始终是我们的首要任务。Fortinet认识到独立安全研究人员的重要作用，他们与供应商密切合作，按照负责任的披露政策保护网络安全生态系统。除了直接与研究人员沟通外，我们的披露政策在Fortinet PSIRT政策页面上有明确概述，其中包括要求事件提交人严格保密，直到客户获得完整的解决方案。因此，我们预计Rapid7将在90天责任披露窗口结束之前保留任何调查结果。我们感到遗憾的是，在这种情况下，个人研究在90天窗口期之前未经充分通知就被完全披露。我们正在努力立即通知客户解决方案，并在本周末发布补丁。