Een kwetsbaarheid in Fortinet FortiWeb wordt wereldwijd actief uitgebuit om zonder authenticatie nieuwe beheeraccounts aan te maken op apparaten die direct vanaf internet toegankelijk zijn. Het betreft een path traversal die het mogelijk maakt een intern CGI-script aan te roepen via het beheerpad. Onderzoekers melden dat aanvallers grote aantallen apparaten scannen en bestoken met geautomatiseerde verzoeken, waarbij elk systeem met een open beheerinterface direct wordt getroffen. Volgens BleepingComputer is de fout inmiddels opgelost in FortiWeb 8.0.2, een versie die eind oktober is uitgebracht. Fortinet heeft echter geen enkele publicatie gedaan die uitlegt wat er precies is gerepareerd. Er is geen CVE, geen PSIRT-advisory en geen toelichting op de aard of ernst van de kwetsbaarheid. Hierdoor is de kans groot dat organisaties te laat hebben opgemerkt dat de update een beveiligingspatch bevatte en dat zij gedurende weken of zelfs maanden kwetsbare systemen hebben gebruikt.

De exploit wordt op een relatief eenvoudige manier uitgevoerd. Aanvallers sturen een POST-verzoek naar het endpoint “/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi”. De path traversal zorgt ervoor dat het apparaat de onderliggende CGI-functie uitvoert, waarna de payload een nieuw lokaal administrator-account aanmaakt. Onderzoekers hebben meerdere gebruikersnamen gezien die zo worden aangemaakt, zoals Testpoint, trader en trader1. Ook wachtwoorden als 3eMIXX43 en AFT3$tH4ck zijn aangetroffen in de logs van getroffen systemen. De aanvallen komen uit verschillende netwerken. BleepingComputer noemt onder andere het adres 107.152.41.19, een host in de 185.192.70.0/24-range en een eerder gemeld adres, 64.95.13.8. Het misbruik wordt op steeds grotere schaal waargenomen. Securitybedrijven zien dat het niet gaat om gerichte aanvallen op specifieke organisaties, maar om een wereldwijde spray-campagne die elk publiek toegankelijk FortiWeb-systeem probeert te treffen. Dit is vooral relevant voor datacenters, managed service providers en andere multi-tenant-omgevingen, omdat een gecompromitteerde FortiWeb daar potentieel meerdere klanten tegelijk kan raken. De rol van FortiWeb als web application firewall vergroot de impact, omdat toegang tot het beheerplatform vaak ook inzicht in of invloed op achterliggende applicaties geeft. BleepingComputer meldt dat Fortinet nog niet heeft gereageerd op vragen over de kwetsbaarheid en dat er geen officiële documentatie beschikbaar is die de fout beschrijft. Totdat Fortinet met duidelijkheid komt, zijn organisaties aangewezen op eigen controles. Het is verstandig om onmiddellijk te updaten naar versie 8.0.2 of hoger, bestaande logbestanden door te nemen op verdachte POST-verzoeken naar het genoemde pad, en te controleren of er onverwachte beheeraccounts zijn aangemaakt. Ook is het raadzaam om te verifiëren dat de beheerinterface van FortiWeb niet zonder noodzaak openbaar toegankelijk is.