Fortinet的网络应用服务器防火墙(WAF)服务平台(即FortiWeb)公布了一个未修复的电脑操作系统指令引入安全性漏洞。科学研究人员说,它有可能会容许客户实现管理权限更新和彻底接手机器设备。
FortiWeb是一个网络信息安全防御力服务平台,致力于维护重要项目的网络应用免遭网络黑客的多种进攻。据Fortinet称,该服务器防火墙现阶段早已开展了自动更新的作用布署,提升了新的Web APIs。
该漏洞(CVE未确定)存有于FortiWeb的管控页面(6.3.11及以前的版本),CVSSv3基本得分为8.7分(100分10分),归属于高比较严重水平。据发觉该漏洞的Rapid7科学研究人员William Vu说,它可以让远程控制的通过认证的网络攻击根据SAML服务器的配置网页页面在操作系统上实行随意指令。
依据安全性人员在星期二对这个问题的叙述:"一定要注意,尽管仅有根据验证才可以借助这一漏洞,但这个漏洞可以与另一个验证绕开漏洞结合在一起应用,如CVE-2020-29015"。
一旦网络攻击根据了验证进到了FortiWeb机器设备的管控页面,她们可以在SAML服务器的配置网页页面的 "名字 "字段名中应用回车键键入指令。随后,这种指令会以最底层系统的root客户真实身份实行。
网络攻击可以借助这一漏洞,而且以尽量高的管理权限良好控制受影响的机器设备,她们也许会安裝一个有持续性作用的专用工具、数字货币发掘手机软件或其它恶意程序。
假如管理方法页面曝露在移动互联网上,损害也许会更高。Rapid7强调,在这样的情况下,网络攻击很有可能会渗入更深处的互联网中。殊不知,Rapid7的科学研究人员发觉有三百台上下的机器设备好像正处在那样的状况。
在剖析中,Vu给予了一个定义认证的运用编码,它采用了HTTP POST要求和回应技术性。
由于这一漏洞的公布,Fortinet早已加速了FortiWeb 6.4.1的漏洞修补方案。计划在8月底公布,如今将在本礼拜天公布。
该企业在给予给Threatpost的一份申明上说:"大家已经尽力向顾客给予有关解决方案的通告,并计划在本礼拜天前公布补丁包。”
该企业还强调,由于领域内的漏洞公布标准,Rapid7的公布有点儿让人诧异。
Fortinet如今早已了解到单独安全性科学研究人员的主要功效,她们与经销商紧密配合,依照她们的信息披露现行政策来维护网络信息安全生态体系。除开与科学研究人员立即沟通交流外,大家的信息披露现行政策在Fortinet PSIRT政策网页页面上面有清晰的要求,主要包括规定漏洞提交者严苛信息保密,直到为客人保证详细的解决方法才行。因而,大家曾期待Rapid7在人们的90天漏洞公布潜伏期完毕前对该保密信息。 大家感到失望的是,在这样的情况下,某些科学研究人员在90天对话框前在没有通告的情形下漏洞就被彻底公布了。
现阶段,Rapid7给予很有全局性的提议。
据Rapid7称:"在沒有补丁包的情形下,提议客户在没有受信赖的互联网中禁止使用FortiWeb机器设备的管控页面,与此同时也包含互联网技术。一般来说,像FortiWeb那样的机器设备的管控页面不应该立即裸露在移动互联网上,反过来,他们应当只有根据受信赖的里面互联网或根据可靠的VPN隧道施工来联接。”
Rapid7科学研究人员说,该漏洞好像与CVE-2021-22123相关,而且该漏洞已在6月被修复了。
Fortinet:很火爆的漏洞
该经销商商品的安全性漏洞并许多见,Fortinet的网络安全产品常常被互联网网络攻击(包含专制制度攻击性行为者)进攻。客户应当快速提前准备修复漏洞。
4月,中情局和网络信息安全和基础设施建设安全局(CISA)警示说,各种各样高級不断危害(APT)已经积极主动运用Fortinet SSL VPN的三个安全性漏洞开展情报活动。她们警示说,CVE-2018-13379、CVE-2019-5591和CVE-2020-12812的漏洞常常被用于在互联网中得到堡垒机,随后再纵向挪动并开展互联网侦查。
在其中FortiOS中的Fortinet漏洞,也被安全性科学研究人员视作是一种新的推广勒索病毒的漏洞,其受害人通常是欧洲地区的企业。
文中翻譯自:https://threatpost.com/holeswarm-malware-windows-linux/168759/倘若转截,请标明全文详细地址。