Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Уязвимость в FortiWeb позволяет перехватить контроль над межсетевым экраном

20/08/21

hack55-Aug-20-2021-08-38-41-99-AMВ платформе межсетевого экрана web-приложений FortiWeb компании Fortinet была обнаружена уязвимость внедрения команд. Эксплуатация уязвимости позволяет злоумышленникам повысить привилегии и полностью перехватить контроль над устройством.

Проблема содержится в интерфейсе управления FortiWeb (версии 6.3.11 и старше) и получила оценку в 8,7 балла по шкале CVSSv3. Эксплуатация проблемы может позволить удаленному авторизованному злоумышленнику выполнять произвольные команды на системе через страницу конфигурации SAML-сервера.

«Стоит обратить внимание, что хотя аутентификация является предварительным условием для осуществления атаки, данная уязвимость может сочетаться с другой проблемой обхода аутентификации, такой как CVE-2020-29015 », — пояснили эксперты.

После аутентификации злоумышленников в интерфейсе управления устройства FortiWeb они могут передавать команды, используя обратные кавычки в поле «Name» на странице конфигурации сервера SAML. Затем эти команды выполняются от имени суперпользователя базовой операционной системы. После этого преступник может установить постоянную оболочку, программное обеспечение для майнинга криптовалют или другое вредоносное ПО.

Уязвимость будет исправлена в версии FortiWeb 6.4.1, выпуск которой запланирован на август нынешнего года. В виду отсутствия патча пользователям рекомендуется отключить интерфейс управления устройством FortiWeb в ненадежных сетях, в том числе в интернете.

Темы:Угрозымежсетевые экраныFortinet
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...