Уязвимость FortiWeb: обход аутентификации и активные атаки

Недавно выявленная уязвимость в устройствах Fortinet FortiWeb привела к волне атак, использующих недокументированный обходной путь, позволяющий злоумышленникам создавать учетные записи локальных администраторов на целевых устройствах без прохождения проверки подлинности. Это дает им полный доступ к интерфейсу управления и ставит под угрозу безопасность инфраструктуры организаций, у которых интерфейсы управления доступны в публичной сети.

Что произошло

По состоянию на 6 октября в данных honeypot были обнаружены признаки эксплуатации: активные попытки сканирования и компрометации открытых экземпляров FortiWeb по всему миру. Исследование, проведенное Rapid7, подтвердило, что уязвимость воспроизводима и эффективно устраняется только в версии 8.0.2, которая возвращает ответ «403 Forbidden» на попытки использования обхода. Более ранние версии остаются подвержены атаке, позволяющей несанкционированно создавать учетные записи администраторов.

Технические детали

• Уязвимость позволяет злоумышленнику, не прошедшему аутентификацию, создать локальную учетную запись администратора на устройстве FortiWeb.
• Было разработано доказательство концепции (PoC): после нескольких первоначальных неудачных попыток входа в систему злоумышленник получает успешный доступ через недавно созданную учетную запись администратора.
• Версия FortiWeb 8.0.2 демонстрирует исправление — попытки эксплуатации получают ответ «403 Forbidden». Старые версии не блокируют такие операции.

Масштаб и география атак

Анализ Shodan выявил более 700 уязвимых экземпляров FortiWeb, сосредоточенных главным образом в Соединенных Штатах. Наличие публично доступных интерфейсов управления делает такие устройства приоритетной целью для злоумышленников во время активных кампаний сканирования и эксплуатации.

Почему это опасно

• Создание локальной учетной записи администратора дает злоумышленнику полный контроль над интерфейсом управления устройства.
• Публично доступные management-интерфейсы сильно повышают риск быстрой компрометации, особенно при наличии автоматизированных сканнеров.
• Эксплуатация уязвимости не требует сложной авторизации — достаточно обращения к недокументированному обходному пути.

Рекомендации

• Немедленно проверить версию FortiWeb в вашей инфраструктуре и по возможности обновить до 8.0.2, где уязвимость устранена.
• Ограничить доступ к интерфейсам управления (management) — использовать VPN, IP-фильтры и другие меры сетевой сегментации.
• Проверить логи на предмет незапланированных созданий учетных записей и попыток аутентификации, а также проанализировать подозрительную активность в honeypot-данных.
• Мониторить публикации от Fortinet и исследовательских групп (включая Rapid7 и источники типа Shodan) на предмет дополнительных индикаторов компрометации и патч-релизов.

Заключение

Обнаруженная уязвимость в FortiWeb представляет собой серьёзную угрозу для организаций с публично доступными management-интерфейсами. Rapid7 подтвердил работоспособность исправления в версии 8.0.2, но до тех пор, пока устаревшие версии остаются в эксплуатации, риск компрометации сохраняется. Комплексная защита — обновления, ограничение доступа и мониторинг — необходима для минимизации последствий этой кампании.

«Только версия 8.0.2 FortiWeb эффективно устраняет эту уязвимость, возвращая ответ 403 Forbidden на попытки использования» — вывод исследования Rapid7.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.