IT-Sicherheitsforscher haben aus ihrem Honeypot Exploit-Code gefischt, der offenbar eine bislang unbekannte Sicherheitslücke in Fortinet-Web-Application-Firewalls angreift. Die attackierte Schwachstelle erinnert an eine, die Fortinet bereits 2022 mit einem Update geschlossen hatte.
In einem Blog-Beitrag auf pwndefend erörtert der Autor, dass er zusammen mit einem befreundeten IT-Sicherheitsforscher Daten aus einer neuen Honeypotumgebung ausgewertet und dabei Schadcode, der gegen FortiWeb-Firewalls wirkt, bemerkt hat. Erste Untersuchungen ergaben laut einem X-Beitrag von dem Freund, dass der Schadcode auf Virustotal von keinem Malware-Schutz erkannt wurde. Es scheint sich um eine Schwachstelle des Typs Path Traversal zu handeln. Sie erinnert die IT-Forscher an die Fortinet-Schwachstelle CVE-2022-40684 (CVSS 9.8, Risiko "kritisch"), bei der Angreifer die Authentifizierung auf dem Admin-Interface umgehen und mit manipulierten Anfragen ansonsten Admins vorbehaltene Aktionen ausführen können.
Zum Schutz potenzieller Opfer will der Autor nicht zu sehr in die Details der entdeckten Payload gehen. Die Angreifer senden den Schadcode mittels HTTP-Post-Anfrage an den Endpunkt "/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi". Darin eingebettet ist eine Befehlssequenz zum Anlegen eines Nutzerkontos. Im Blog-Beitrag liefert der Autor noch Indizien für eine Kompromittierung (Indicators of Compromise, IOCs); die Liste umfasst IP-Adressen, von denen beobachtete Attacken ausgingen, sowie einige Usernamen- und Passwort-Kombinationen, die die analysierte Malware anlegen wollte.
Die IT-Forensiker von watchTowr zeigen auf X in einem kurzen Film, wie der Exploit gegen eine FortiWeb-Firewall ausgeführt wird und dabei ein Admin-Konto anlegt. Sie bestätigten damit die Funktionsfähigkeit des Zero-Day-Exploits. Außerdem haben sie ihn ihrem 'Detection Artefact Generator' hinzugefügt. Von Fortinet gibt es bislang noch keine Hinweise – das letzte Sicherheitsupdate für ein Produkt datiert auf der Webseite auf den 3. November. Als Gegenmaßnahme sollten Admins von FortiWeb-Firewalls sicherstellen, Zugriffe zumindest vorerst auf vertrauenswürdige IP-Adressen zu beschränken, insbesondere dann, wenn das Admin-Interface im Netz zugänglich sein sollte.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo