Fortinet FortiWeb OS anfällig für Command Injection (August 2021)

Sicherheit (Pexels, allgemeine Nutzung)Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer Mitteilung zum 18. August 2021 die Administratoren und Betreiber von Fortinet-Firewalls. Im FortiWeb OS-Betriebssystem gibt es Schwachstellen, die die Produkte anfällig für Command Injection machen. Dies ermöglicht eine Übernahme der Produkte durch Remote Angreifer, wobei es derzeit keinen Patch gibt.


Anzeige

Ich hatte erste Meldungen bereits zum 17. August 2021 gesehen – wonach sich der Patch von Fortinet verzögert. Nun hat mir Blog-Leser Marco H. die entsprechende Warnung des BSI per Mail zukommen lassen (danke dafür). Administratoren sollten umgehend reagieren.

FortiWeb OS-Schwachstelle

Fortinet FortiWeb ist eine Web Application Firewall (WAF), die sowohl bekannte als auch unbekannte Exploits abfängt, die auf die geschützten Webanwendungen abzielen, bevor sie eine Chance zur Ausführung haben. Forscher William Vu von Rapid7 entdeckte im Juni 2021 ein Problem in dieser Software, welches dann am 10. Juni 2021 an Fortinet gemeldet wurde. Dort erfolgte auch ein Hinweis, dass die Schwachstelle in Übereinstimmung mit den Richtlinien von Rapid7 zur Offenlegung veröffentlicht wird.

Am 17. August 2021 berichtete das IT-Sicherheitsunternehmen Rapid7 daher in seinem Blog über eine Schwachstelle im Management Interface von Fortinets FortiWeb OS. Die damit verwaltete Web Application Firewall (WAF) Fortinet FortiWeb wird in vielen Organisationen zum Schutz von Webauftritten eingesetzt.

Laut Rapid7 kann ein authentifizierter Angreifer die Ausführung von Befehlen auf dem Gerät (durch command injection) erzwingen und die WAF somit vollständig übernehmen. Konkret muss ein Angreifer sich zunächst an der Verwaltungsschnittstelle des FortiWeb-Geräts authentifizierten. Dann kann er über Backticks im Feld "Name" auf der SAML-Server-Konfigurationsseite Befehle einschleusen. Diese Befehle werden dann als Root-Benutzer des zugrunde liegenden Betriebssystems ausgeführt.

In der Folge ist die Installation einer Shell oder von Schadsoftware denkbar. Die Sicherheitsforscher von Rapid7 haben in ihrem Blog auch Exploit Code für die Schwachstelle veröffentlicht. Betroffen sind die FortiWeb OS Versionen 6.3.11 und älter. Mit einem CVSS-Score von 8.7 wird die Schwere der Sicherheitslücke als „hoch" eingestuft. Ein Patch ist aktuell noch nicht verfügbar.

Zusätzliche Brisanz erhält der Sachverhalt in Verbindung mit der im Januar veröffentlichten Schwachstelle CVE-2020-29015 [MITR2021]. Damals war eine Möglichkeit bekannt geworden, die Authentifizierungsmechanismen von Fortinet FortiWeb zu umgehen. Für Geräte, auf denen seit diesem Zeitpunkt keine Updates mehr eingespielt wurden, könnte somit auch die o.g. Einschränkung (Authentifizierung an der Management-Oberfläche des FortiWeb-Geräts) für die Ausnutzung der nun gefundenen Sicherheitslücke entfallen.

Erhebliches Bedrohungspotential

Aufgrund der zentralen Bedeutung von Web Application Firewalls für die Sicherheitskonzepte von Webanwendungen geht das BSI im vorliegenden Fall von einer erheblichen Bedrohung aus. In Zusammenhang mit der schon länger bekannten Schwachstelle CVE-2020-29015 zeigt sich laut BSI einmal mehr, wie Angreifer sich unzureichendes Patchmangement für die Verkettung mehrerer Sicherheitslücken zu Nutze machen können.

Das Problem ist aber, dass zum aktuellen Zeitpunkt Fortinet noch keinen Patch zur Verfügung gestellt hat. In einer Rückmeldung an Rapid7 gab Fortigate an, dass das Update auf Fortiweb 6.4.14 voraussichtlich einen Fix enthält und Ende August veröffentlicht wird.


Anzeige

Das BSI empfiehlt: Betreiber sollten daher Schutzmechanismen – zum Beispiel durch die Nutzung von VPN – etablieren, die einen unerlaubten Zugriff auf das Management Interface verhindern. Die ungeschützte Erreichbarkeit aus dem Internet ist in jedem Fall zu vermeiden.

Zudem empfiehlt sich ja die Installation des Patches zum Schließen der schon länger bekannten Schwachstelle CVE-2020-29015. Allgemeine Hinweise zur Absicherung und dem Aufbau von Firewalls stellt das BSI im Grundschutz-Kompendium bereit.

Ergänzung: Es sieht so aus, als ob Fortinet da etwas kalt erwischt wurde, oder die Vorgaben von Rapid7 bzgl. einer Offenlegung nicht ernst genommen hat. Von der für Fortinet Pressebetreuung ging mir noch ein Statement des Unternehmens zu. Den Sermon, dass man die Sicherheit der Kunden ernst nimmt, spare ich mir – wenn Fortinet das nicht als Basis voraussetzt, können die gleich dicht machen. Hier die essentiellen Aussagen:

"Fortinet erkennt die wichtige Rolle unabhängiger Sicherheitsforscher an, die eng mit Anbietern zusammenarbeiten, um das Cybersecurity-Ökosystem im Einklang mit deren Richtlinien zur verantwortungsvollen Offenlegung zu schützen. Zusätzlich zur direkten Kommunikation mit den Forschern ist unsere Veröffentlichungspolitik auf der Fortinet PSIRT-Richtlinienseite klar umrissen. Dazu gehört auch die Aufforderung an die Einsender von Vorfällen, strikte Vertraulichkeit zu wahren, bis vollständige Lösungen für die Kunden verfügbar sind. Daher hatten wir erwartet, dass Rapid7 alle Ergebnisse vor dem Ende des 90-tägigen Zeitfensters für die Offenlegung der Verantwortung zurückhält.  Wir bedauern, dass in diesem Fall einzelne Untersuchungen ohne angemessene Benachrichtigung vor Ablauf der 90-Tage-Frist vollständig offengelegt wurden. Wir arbeiten daran, unsere Kunden unverzüglich über eine Umgehungslösung zu informieren und bis Ende der Woche einen Patch zu veröffentlichen.

Den Grund für die schnelle Offenlegung durch Rapid7 kenne ich nicht – möglicherweise zeichnet sich da eine Ausnutzung ab. Ergänzung 2: Die Kollegen von Bleeping Computer haben von Rapid7 den Hinweis bekommen, dass Fortinet auf Nachfragen nicht reagiert habe.

Bezüglich der obigen Ankündigung der Fortinet-Umgehungslösung nur so viel: Wenn das BSI dazu rät, die oben genannte altbekannte Schwachstelle zu patchen und darauf hinweist, dass die Verwaltungsoberfläche der Web Application Firewall nicht per Internet (sondern maximal per VPN) erreichbar ist, hätte der Anbieter da eigentlich zeitnah das Gleiche tun können. Ob Kunden benachrichtigt wurden, ist mir nicht gekannt.

Ergänzung 3: Fortinet hat einen Sicherheitshinweis veröffentlicht, in dem die Fortiweb Versionen bis 6.2.4, bis 6.3.14 und bis  6.4.0 als "vulnerable" bezeichnet werden. Den Kunden wird empfohlen, "den Zugriff auf die Verwaltungsschnittstelle aus nicht vertrauenswürdigen Netzwerken zu deaktivieren und die Funktion "Trusted Hosts" zu verwenden, um den Zugriff auf vertrauenswürdige IP-Adressen für die Admin-Benutzer zu beschränken". Die Information ist mir aber nicht über die Fortinet Pressebetreuung zugegangen, sondern die Kollegen von Bleeping Computer haben das hier berichtet. Und hier noch die geplanten Update-Versionen mit dem Fix:

  • Upgrade to upcoming FortiWeb 6.3.15 or above
  • Upgrade to upcoming FortiWeb 6.4.1 or above
  • Upgrade to upcoming FortiWeb 6.2.5 or above

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Fortinet FortiWeb OS anfällig für Command Injection (August 2021)

  1. Dietmar sagt:

    Ich freu mich immer wieder daß es diesen SUPER-Blog gibt! Danke Herr Born!!!!
    Zu dem obigen Thema: "Betroffen sind die FortiWeb OS Versionen 6.3.11 und älter.": Version 6.3.14(!) ist seit 6. August 2021 veröffentlicht (mit Zwischenversionen im Mai und Juni).
    Eine WAF im (edv-mässig) uralten Stand "an der Front" zu betreiben find ich persönlich nicht zielführend. Und das Managementinterface aus dem Internet erreichbar zu machen möchte ich persönlich auch nicht. Aber vermutlich ist das der Zug der Zeit – wenn irgendwann mal alles in der Cloud ist wird es sicher (nicht) leichter. ;)

  2. Mike sagt:

    Guten Tag,

    Dies betrifft nur die WAF Web Application Firewall von Fortigate. Das Gerät kostet rund EUR. 10'000.- bis EUR. 400'000.- und ist bei Providern und Grossfirmen im Einsatz.

    Stimmt der Text in der Form? Richtig übersetzt von Bleeping?

    (BSI) warnt in einer Mitteilung zum 18. August 2021 die Administratoren und Betreiber von Fortinet-Firewalls

    Gruss aus der Schweiz (Ein Bleeping Computer Security Blog Leser)
    Mike

    https://www.fortiguard.com/psirt/FG-IR-20-124

    • Günter Born sagt:

      Hm, bin jetzt bzgl. des obigen Hinweises am Schwimmen. Den Text von Bleeping Computer habe ich beim Schreiben des initialen Textes nicht nochmals angesehen – aber der Text des BSI und Hinweis von Fortnet gibt klar das "user interface of FortiWeb" als Schwachstelle an. Das ist wohl die Verwwltungsoberfläche für die Web Application Firewall (WAF) von Fortigate – oder?

  3. Daniel sagt:

    Forti ist bei mir raus. Die haben sich in der Vergangenheit zu viel geleistet. Ist ja nicht das erste Mal, dass es bei denen eine Lücke gibt. Setze aktuell lieber auf Sophos. Da kann ich die Installation von Updates auch vollautomatisch planen und das funktioniert auch sehr zuverlässig. Geht das bei Forti auch? Habe mich mit denen nie wirklich beschäftigt.

    • BenjaminG sagt:

      @Daniel Für Fortigates, also die Firewalls, gibt es den FortiManager. Mit dem kann man zentral Firmwareupgrades auf eine beliebige Uhrzeit planen. Damit geht sowas also.

      Bezüglich der Meldung: Es ist irgendwie nicht ganz klar was gemeint ist. Das Produkt FortiWeb ist eine eigenständige WAF Lösung. Jetzt ist die Frage ob da nur die Management-Oberfläche betroffen ist, oder ob darüber veröffentlichte Websites schon anfällig sind, was ich mir aber nicht vorstellen kann.
      Ausserdem haben FortiGates auch eine WAF Komponente integriert. Könnte also sein das die auch betroffen ist. Steht aber nichts dazu in der Meldung.

      Vermutlich ist aber nur die ManagementUI vom FortiWeb betroffen. Die sollte man eh nicht im Web hängen haben …

  4. Mike sagt:

    Hallo,

    @Daniel,

    Das mit den automatischen Firmware Updates ist so eine Sache bei Sophos. Wenn dann über Nacht plötzlich Feature wie TLS Re-write (Umbiegen) rausfallen geht dann was plötzlich nicht mehr. Change and Release Managment Fremdwort….

    Aber….

    Der Fortimanager mit welchen man automatisch viele Fortigate verwalten und auch automatisch updaten kann startet bei CHF 13'000.- (Mit Updates CHF 18'000.-) Einfach damit ein wenig klarer wird von was wir reden… (Also mit dabei ist es in dem Fall ja nicht…)

    @BenjaminG, absolut richtig so sehe ich es auch. Eventuell ist das WAF-Modul der Fortiaget auch betroffen dann bitte sollte es aber der Hersteller schreiben (Oder die Metasploit Vergolder von R7).

    Somit die Warnung vom BSI falsch formuliert? ;-) Nur alle Hühner aufgeschreckt?

  5. Anonymous sagt:

    Sophos ist ja wohl mal ein Griff ins Klo im Vergleich zu Forti xD
    Ist wie Trabant gegen Mercedes E Klasse…

    • StefanB sagt:

      Ich arbeite mit Forti und kenne Sophos nur teilweise. Ich kann ihren Vergleich nicht ganz nachvollziehen. Können Sie uns den evtl. etwas erläutern, wie sie auf so einen massiven unterschied kommen?

      @Daniel: Ja, hatte auch schon meine Mühe mit Fehlern in Fortis. Allerdings kochen die anderen auch nur mit Wasser und mir kommt es manchmal etwas spanisch vor, wenn nur immer von den gleichen Herstellern Meldungen veröffentlicht werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.