Fortinet FortiWeb に存在するパストラバーサルの脆弱性が、認証なしで公開されたデバイス上に新たな管理者ユーザーを作成する目的で積極的に悪用されています。
この問題は FortiWeb 8.0.2 で修正されており、管理者はできるだけ早くアップデートを行い、不正アクセスの痕跡がないか確認するよう強く求められています。
この悪用は、脅威インテリジェンス企業 Defused によって 10 月 6 日に初めて確認され、公開されたデバイスに対して管理者アカウントを作成するために使用されている「不明な Fortinet エクスプロイト」として報告されました。
その後、攻撃は増加しており、脅威アクターは現在このエクスプロイトを世界中にばらまいています。
PwnDefend と Defused の Daniel Card によって公開された新たな調査によると、この欠陥は以下の Fortinet エンドポイントに影響するパストラバーサルの問題です。
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi脅威アクターは、このパスに対して HTTP POST リクエストを送り、標的デバイス上にローカルの管理者レベルアカウントを作成するペイロードを含めています。
研究者らが観測した悪用では、複数のユーザー名とパスワードの組み合わせが作成されており、ユーザー名にはTestpoint、trader1、traderなどが含まれています。アカウントに設定されていたパスワードには、3eMIXX43、AFT3$tH4ck、AFT3$tH4ckmet0d4yaga!n などが含まれています。
攻撃は以下を含む広範な IP アドレスから発信されていました。
- 107.152.41.19
- 144.31.1.63
- 185.192.70.0/24 範囲内のアドレス
- 64.95.13.8(10 月の最初の報告より)
watchTowr Labs のセキュリティ研究者はこのエクスプロイトを確認しており、FortiWeb へのログイン試行の失敗、エクスプロイトの実行、そして新たに作成された管理者ユーザーとしてのログイン成功を示す動画を X に投稿しました。
watchTowr はまた、「FortiWeb Authentication Bypass Artifact Generator」というツールも公開しており、UUID から生成した 8 文字のランダムなユーザー名を持つ管理者ユーザーを作成することで、この欠陥の悪用を試みます。
このツールは、防御側が脆弱なデバイスを特定するのを支援するために公開されました。
複数バージョンにわたってエクスプロイトをテストした Rapid7 によると、この欠陥は FortiWeb 8.0.1 以前のバージョンに影響します。この欠陥は 8.0.2 で修正されており、このバージョンは 10 月末にリリースされたと考えられています。
しかし、BleepingComputer は、Fortinet の PSIRT サイト上で、現在悪用されているものと一致する FortiWeb の脆弱性に関する開示を見つけることができていません。
BleepingComputer は、この報告された悪用について Fortinet に質問を送付しており、回答を受け取り次第、記事を更新する予定です。
この脆弱性は実際の環境で積極的に悪用されているように見えるため、管理者はデバイス上に不審な管理者アカウントがないか確認し、fwbcgi パスへのリクエストがログに記録されていないかをチェックし、特定された不審な IP アドレスからのあらゆる活動を調査する必要があります。
また、管理者はこれらの管理インターフェースがインターネットから到達可能になっていないことを確認し、信頼できるネットワークまたは VPN 経由のアクセスのみに制限する必要があります。
