FortiWeb-lek actief misbruikt om admin-accounts aan te maken

In dit artikel:

Een wereldwijd misbruik van een Fortinet FortiWeb-kwetsbaarheid stelt aanvallers in staat zonder authenticatie nieuwe beheeraccounts aan te maken op apparaten die vanaf internet bereikbaar zijn. Het gaat om een path‑traversal die een intern CGI‑script activeert via het beheerpad; de exploit stuurt een POST naar het endpoint /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi en laat vervolgens een lokaal administratoraccount aanmaken. Onderzoekers zagen automatisch aangemaakte gebruikersnamen (bijv. Testpoint, trader, trader1) en wachtwoorden terug in logs, afkomstig van uiteenlopende externe IP‑adressen.

Securitybedrijven melden dat het geen gerichte aanvallen zijn maar een wereldwijde scan‑en‑spraycampagne die elk publiek toegankelijk FortiWeb‑systeem probeert te raken. Dat vergroot het risico vooral voor datacenters, managed service providers en andere multi‑tenantomgevingen; als de WAF beheerd wordt, kan een compromitteer impact hebben op meerdere achterliggende applicaties.

Fortinet bracht eind oktober FortiWeb 8.0.2 uit waarin de fout blijkbaar verholpen is, maar gaf geen technische toelichting, CVE of PSIRT‑advies; dat gebrek aan disclosure kan ertoe hebben geleid dat organisaties de patch te laat als beveiligingsfix hebben geïdentificeerd. Totdat Fortinet meer informatie publiceert, adviseren onderzoekers en BleepingComputer direct te updaten naar 8.0.2 of hoger, logs te doorzoeken op verdachte POST‑verzoeken naar het genoemde pad, te controleren op onverwachte beheeraccounts en te voorkomen dat de beheerinterface onnodig openbaar toegankelijk is. Aanvullende mitigaties: beheer‑toegang beperken via allowlists/VPN, MFA en credentialrotatie, en forensisch onderzoek bij vermoede compromittatie.