Fortinet FortiWeb: una RCE sull'interfaccia di amministrazione del famoso WAF, scoperta da Rapid7.

Aggiornamento: ago 23



Una nuova vulnerabilità che interessa Fortinet FortiWeb versione 6.3.11 (e precedenti) è stata scoperta dagli esperti di Rapid7 la quale permette ad un utente malintenzionato autenticato di eseguire comandi arbitrari come root tramite la pagina di configurazione del server SAML.



Al problema non è stato ancora assegnato un ID CVE, ma i ricercatori avvertono che un utente malintenzionato potrebbe utilizzarlo per ottenere il pieno controllo del dispositivo vulnerabile con i più alti privilegi possibili.



Secondo loro, il nuovo bug è una variazione della vulnerabilità CVE-2021-22123, risolta in Fortinet FortiWeb questa estate.


Sebbene lo sfruttamento del bug richieda l'autenticazione, si noti che, un utente malintenzionato può sfruttare, ad esempio la CVE-2020-29015, che è stato risolto all'inizio del 2021, e ottenere il pieno controllo sui server vulnerabili .

“L'attaccante sarà quindi in grado di installare una shell persistente, software di mining di criptovaluta o altro malware. Nell'improbabile eventualità che l'interfaccia di gestione sia aperta all'accesso tramite Internet, la piattaforma compromessa può essere utilizzata per accedere alla rete vulnerabile al di fuori della DMZ "

Ha riportato Rapid7.



Poiché non è ancora disponibile alcuna patch per il nuovo problema, si consiglia agli amministratori di bloccare l'accesso all'interfaccia di gestione di FortiWeb da reti non attendibili (incluso Internet).


Gli esperti di Rapid7 hanno scritto che il rapporto con gli sviluppatori di Fortinet si è rivelato quasi a senso unico, e non hanno mai ricevuto alcuna informazione dall'azienda in merito alla patch. I ricercatori hanno espresso la speranza che la vulnerabilità venga risolta presto.



In risposta alla divulgazione della vulnerabilità, i funzionari di Fortinet hanno rilasciato un comunicato stampa ufficiale affermando che Rapid7 ha rivelato il bug prima della fine del periodo generalmente accettato di 90 giorni per la divulgazione responsabile. La società si è scusata con i clienti e ha promesso di sbrigarsi, rilasciando una correzione entro la fine di questa settimana.


Un portavoce di Rapid7 ammette che la divulgazione è avvenuta solo 68 giorni dopo la scoperta della vulnerabilità, ma solo perché i rappresentanti di Fortinet hanno smesso di rispondere ai ricercatori e non avevano dati sul rilascio della patch.



Fortinet ha riportato alla nostra redazione una aggiunta, come approfondimento allo stato dell'arte della gestione della vulnerabilità e soprattutto riguardo alle best practices internazionali riguardo ai 90 giorni, prima della pubblicazione di una vulnerabilità.


"La sicurezza dei nostri clienti è sempre la nostra prima priorità. Fortinet riconosce l'importante ruolo dei ricercatori indipendenti sulla sicurezza che lavorano a stretto contatto con i fornitori per proteggere l'ecosistema della sicurezza informatica. Oltre a comunicare direttamente con i ricercatori, la politica di divulgazione di Fortinet è delineata nella pagina della Normativa PSIRT di Fortinet, che include la richiesta agli autori degli incidenti di mantenere la massima riservatezza fino a quando non saranno disponibili risoluzioni complete per i clienti. Pertanto, ci aspettavamo che Rapid7 tenesse  tutti i risultati prima della fine della nostra finestra di divulgazione responsabile di 90 giorni. Ci rammarichiamo che in questo caso la ricerca individuale sia stata divulgata completamente senza un'adeguata notifica prima della finestra di 90 giorni. Fortinet ha emesso un avviso fuori ciclo, FG-IR-21-116, per informare della risoluzione e fornire una soluzione alternativa e si impegna a rilasciare una patch entro la fine della settimana".