Herramienta ya en GitHub: hackers crean cuentas de administrador en FortiWeb explotando una vulnerabilidad en el manejo de rutas
El precio de sus servicios: la confidencialidad de su empresa.
La actividad de los atacantes en torno a la vulnerabilidad recientemente identificada en FortiWeb se intensifica, y los especialistas registran cada vez más casos de creación de cuentas ajenas con privilegios máximos. El problema resultó lo bastante sencillo para su uso masivo, por lo que los propietarios de los dispositivos deben comprobar urgentemente las configuraciones y cerrar el acceso a las interfaces administrativas.
La vulnerabilidad fue detectada en el mecanismo de procesamiento de rutas de FortiWeb. El error permite acceder a un binario de servicio mediante una construcción de salto de directorios y ejecutar solicitudes que derivan en la creación de nuevos administradores locales. Los atacantes envían solicitudes POST a una ruta específica, y la carga útil añade nuevas entradas a la lista de cuentas de administración. Según PwnDefend y Defused, los primeros ataques se registraron el 6 de octubre, tras lo cual los intentos de intrusión se propagaron por todo el mundo.
Los identificadores que aparecieron en los dispositivos comprometidos variaron considerablemente. En los informes figuran los nombres Testpoint, trader y trader1, y entre las contraseñas usadas se encontraron variantes con combinaciones de símbolos y dígitos. Los flujos de solicitudes procedían de numerosas direcciones, incluidas direcciones individuales y rangos enteros mencionados en las primeras observaciones. Esto indica una amplia distribución de la infraestructura utilizada para eludir las protecciones.
El equipo de watchTowr Labs reprodujo la explotación en dispositivos de prueba, demostrando cómo un intento fallido de inicio de sesión da paso a una autorización exitosa tras ejecutar la solicitud vulnerable. Los especialistas también publicaron una utilidad que genera un registro administrativo con un nombre arbitrario creado a partir de un UUID. Está destinada a comprobar la vulnerabilidad y analizar la propia postura de defensa, no a fines maliciosos.
Según Rapid7, el error afecta a todas las compilaciones de FortiWeb hasta la versión 8.0.2 inclusive. La actualización que corrige el problema data de finales de octubre. Dado que el problema se está explotando en ataques reales, se recomienda a los propietarios de esos sistemas revisar los registros de eventos, comprobar los dispositivos en busca de cuentas desconocidas y buscar llamadas a la ruta fwbcgi. Además, es importante asegurarse de que las interfaces de gestión no sean accesibles directamente desde la red y estén limitadas a segmentos de confianza o a la conexión mediante VPN.