Fortinet veröffentlicht Sicherheitsupdates wegen schwerwiegender SQL-Injection-Schwachstelle
Am Donnerstag der vergangenen Woche veröffentlichte Fortinet Sicherheitsupdates für die FortiWeb-Appliances. Eine SQL-Injection-Schwachstelle in der Fabric-Connector-Komponente erlaubt es Angreifern, unauthentifiziert SQL-Befehle einzuschleusen und auszuführen. Die Lücke entsteht, weil die Funktion zur Überprüfung von Bearer-Tokens die Nutzereingabe in einen format-string einbettet, ohne sie zu bereinigen. Angreifer senden manipulierte HTTP-Anfragen an Endpunkte wie /api/fabric/device/status und umgehen so jegliche Authentifizierung.
Forscher erkannten, dass der MySQL-Prozess auf den Appliances mit Root-Rechten läuft, obwohl er als eingeschränkter mysql-User ausgeführt sein sollte. Durch die Verwendung der MySQL-Anweisung INTO OUTFILE schrieben sie eine Python-Konfigurationsdatei (*.pth) in das site-packages-Verzeichnis. Da Python beim Start alle *.pth-Dateien lädt, ermöglichte dies das Ausführen beliebigen Codes. Ein unabhängiger Forscher bestätigte den vollständigen Exploit, der in Proof-of-Concept-Code vorliegt.
Betroffene Versionen sind alle FortiWeb-Releases ab 7.0.0 bis einschließlich 7.6.3. Fortinet weist darauf hin, dass ein Update auf mindestens 7.0.11, 7.2.11, 7.4.8 oder 7.6.4 erforderlich ist. Bis zur Installation empfiehlt sich das Deaktivieren der HTTP/HTTPS-Administrationsschnittstelle.
Der Vorfall zeigt erneut, dass Webanwendungsfirewalls selbst zu Einfallstoren werden können, wenn Datenbankzugriffe nicht strikt voneinander getrennt werden. Nutzer kritisieren, dass eine Web-Firewall ohne Sicherheits-Zweitkontrolle nicht ausreicht. Administratoren müssen zeitnah prüfen, ob ihre Systeme verwundbar sind und die Patches umgehend einspielen. continuous security testing bleibt unverzichtbar, um Schwachstellen rasch zu schließen und Systemkompromittierungen vorzubeugen.
Schlagwörter: Watchtowr + INTO OUTFILE + Fortinet
(pz)
