Kritische Sicherheitslücke in Fortinet FortiWeb wird bereits aktiv ausgenutzt

FortiWeb ist ein Web Application Firewall (WAF)-Produkt von Fortinet, das speziell dafür entwickelt wurde, Webanwendungen vor Angriffen zu schützen. Die Appliance analysiert eingehenden und ausgehenden HTTP/HTTPS-Traffic, erkennt Anomalien und blockiert bekannte Angriffsmuster. FortiWeb kommt häufig in Unternehmen zum Einsatz, die öffentlich erreichbare Webportale, APIs oder Backend-Dienste absichern müssen.

Die Weboberfläche ist nun selbst anfällig für eine Path Traversal Sicherheitslücke mit der ein Angreifer sich einen Admin-Account anlegen kann. Dadurch erhält der Angreifer weitreichende Zugriffe auf das System.

Mit einer Webanfrage kann FortiWeb ausgetrickst werden und ein Angreifer kann die  interne Konfigurationsdatei bearbeiten: /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi. Damit richtet sich ein Angreifer einen eigenen Admin-Account mit Passwort ein.

Da die Schwachstelle offenbar aktiv ausgenutzt wird, sollten Administratoren ihre Geräte auf ungewöhnliche Administratorkonten überprüfen, die Protokolle auf Anfragen an den fwbcgi-Pfad durchsuchen und jede Aktivität der identifizierten verdächtigen IP-Adressen untersuchen.