W oprogramowaniu Fortinet FortiWeb Manager występuje podatność umożliwiająca utworzenie nowego konta (w tym konta z uprawnieniami administratora) nieuwierzytelnionemu atakującemu poprzez wykonanie spreparowanego zapytania HTTP POST na odpowiednią ścieżkę: /api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi. Podatność jest aktywnie wykorzystywana przez atakujących i na chwilę obecną nie ma przypisanego identyfikatora CVE.

Wykorzystanie podatności wymaga włączonego dostępu do GUI panelu administratora za pomocą protokołu HTTP(S).

W celu uzyskania informacji o wersjach oprogramowania, w których podatności zostały usunięte, zalecamy śledzić komunikaty producenta.

Zespół CERT Polska rekomenduje niezwłoczną aktualizację oprogramowania do najwyższej możliwej wersji oraz weryfikację logów HTTP pod kątem zapytań do wskazanej ścieżki oraz istniejących kont użytkowników. W przypadku wykrycia kompromitacji urządzenia zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie incydent.cert.pl

Więcej o podatności można przeczytać na stronie https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/

Wiadomość pochodzi ze strony https://moje.cert.pl//komunikaty/2025/57/aktywnie-wykorzystywana-krytyczna-podatnosc-w-urzadzeniach-fortinet-fortiweb-manager/

Co o tym myślisz?

4 odpowiedzi