Han surgido detalles sobre una nueva vulnerabilidad de seguridad sin parches en los dispositivos de firewall de aplicaciones web (WAF) de Fortinet que podría ser abusada por un atacante autenticado remoto para ejecutar comandos maliciosos en el sistema.

«Una vulnerabilidad de inyección de comandos del sistema operativo en la interfaz de administración de FortiWeb (versión 6.3.11 y anterior) puede permitir que un atacante autenticado remoto ejecute comandos arbitrarios en el sistema, a través de la página de configuración del servidor SAML», dijo la firma de seguridad cibernética Rapid7 en un aviso publicado el martes. . «Esta vulnerabilidad parece estar relacionada con CVE-2021-22123, que se abordó en FG-IR-20-120».

Rapid7 dijo que descubrió e informó el problema en junio de 2021. Se espera que Fortinet lance un parche a fines de agosto con la versión Fortiweb 6.4.1.

A la falla de inyección de comando aún no se le ha asignado un identificador CVE, pero tiene una calificación de gravedad de 8.7 en el sistema de puntuación CVSS. La explotación exitosa de la vulnerabilidad puede permitir que los atacantes autenticados ejecuten comandos arbitrarios como usuario raíz en el sistema subyacente a través de la página de configuración del servidor SAML.

«Un atacante puede aprovechar esta vulnerabilidad para tomar el control completo del dispositivo afectado, con los privilegios más altos posibles», dijo Tod Beardsley de Rapid7. «Pueden instalar un shell persistente, un software de criptominería u otro software malicioso. En el improbable caso de que la interfaz de administración esté expuesta a Internet, podrían usar la plataforma comprometida para llegar a la red afectada más allá de la DMZ».

Rapid7 también advierte que, si bien la autenticación es un requisito previo para lograr la ejecución de comandos arbitrarios, el exploit podría estar encadenado con una falla de omisión de autenticación, como CVE-2020-29015. Mientras tanto, se recomienda a los usuarios que bloqueen el acceso a la interfaz de administración del dispositivo FortiWeb desde redes que no sean de confianza, lo que incluye tomar medidas para evitar la exposición directa a Internet.

Aunque no hay evidencia de que el nuevo problema de seguridad haya sido explotado en la naturaleza, vale la pena señalar que los servidores de Fortinet sin parches han sido un objetivo lucrativo para los actores de amenazas patrocinados por el estado y motivados financieramente.

A principios de abril, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtieron sobre grupos de amenazas persistentes avanzadas que apuntan a los servidores Fortinet FortiOS al aprovechar CVE-2018-13379, CVE-2020-12812 y CVE-2019. -5591 para comprometer sistemas pertenecientes a entidades gubernamentales y comerciales.

En el mismo mes, la empresa rusa de ciberseguridad Kaspersky reveló que los actores de amenazas explotaron la vulnerabilidad CVE-2018-13379 en los servidores VPN de FortiGate para obtener acceso a redes empresariales en países europeos para implementar el ransomware Cring.

Actualizar: Fortinet compartió la siguiente declaración con The Hacker News:

“La seguridad de nuestros clientes es siempre nuestra primera prioridad. Fortinet reconoce el importante papel de los investigadores de seguridad independientes que trabajan en estrecha colaboración con los proveedores para proteger el ecosistema de ciberseguridad en consonancia con sus políticas de divulgación responsable. Además de comunicarnos directamente con los investigadores, nuestra política de divulgación se describe claramente en la página de Política PSIRT de Fortinet, que incluye solicitar a los remitentes de incidentes que mantengan una estricta confidencialidad hasta que las resoluciones completas estén disponibles para los clientes. Como tal, esperábamos que Rapid7 retuviera cualquier hallazgo antes del final de nuestra ventana de divulgación responsable de 90 días. Lamentamos que, en este caso, la investigación individual se divulgó por completo sin la notificación adecuada antes del período de 90 días. Estamos trabajando para enviar una notificación inmediata de una solución alternativa a los clientes y un parche lanzado al final de la semana”.