top of page
Buscar

Hackers exploram falha no Fortinet FortiWeb que permite criação de contas administrativas

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 14 de nov.
  • 2 min de leitura

ree

Pesquisadores emitiram um alerta urgente sobre uma vulnerabilidade de authentication bypass no Fortinet FortiWeb — o Web Application Firewall (WAF) da empresa — que está sendo explorada por hackers para assumir contas administrativas e comprometer completamente os dispositivos afetados.


De acordo com Benjamin Harris, CEO e fundador da watchTowr, sua equipe identificou exploração ativa e indiscriminada da falha, que foi corrigida silenciosamente pela Fortinet na versão 8.0.2. “A vulnerabilidade permite que invasores executem ações como usuários privilegiados. Nas explorações observadas, o foco é a criação de novas contas administrativas como mecanismo básico de persistência”, afirmou Harris.


A watchTowr conseguiu reproduzir o problema e desenvolver um proof-of-concept funcional, além de disponibilizar uma ferramenta capaz de identificar dispositivos vulneráveis ao authentication bypass. Informações divulgadas por Defused e pelo pesquisador Daniel Card (PwnDefend) mostram que os hackers enviam um payload para o caminho “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” via HTTP POST, o que resulta na criação de uma conta administrativa.


Entre os usuários e senhas detectados em ataques reais estão combinações como:

  • Testpoint / AFodIUU3Sszp5

  • trader1 / 3eMIXX43

  • trader / 3eMIXX43

  • test1234point / AFT3$tH4ck

  • Testpoint / AFT3$tH4ck

  • Testpoint / AFT3$tH4ckmet0d4yaga!n


A identidade dos hackers por trás da campanha ainda é desconhecida, mas a atividade maliciosa começou a ser observada no início de outubro. Até o momento, a Fortinet não publicou um aviso oficial em seu PSIRT nem atribuiu um identificador CVE para a falha.


A Rapid7 também pediu que organizações que utilizam versões anteriores à 8.0.2 tratem a vulnerabilidade como emergência, especialmente após observar que um suposto zero-day para o FortiWeb foi colocado à venda em um fórum de hackers em 6 de novembro. Ainda não há clareza se o exploit ofertado é o mesmo que está sendo utilizado na campanha atual.


“Enquanto aguardamos um posicionamento da Fortinet, empresas precisam seguir um roteiro já conhecido: buscar sinais de comprometimento, contatar a fabricante e aplicar os patches disponíveis”, afirmou Harris. “Dado o nível de exploração indiscriminada observado, é provável que appliances não atualizados já estejam comprometidos.”


Via - THN

 
 
 

Comentários

bottom of page