Celah Fortinet FortiWeb Dieksploitasi untuk Membuat Akun Admin Tanpa Autentikasi

Kerentanan path traversal pada Fortinet FortiWeb dilaporkan sedang dieksploitasi secara aktif untuk membuat akun administrator baru pada perangkat yang terekspos ke internet, tanpa memerlukan autentikasi apa pun. Fortinet telah memperbaiki masalah ini pada FortiWeb versi 8.0.2, dan administrator sangat dianjurkan untuk segera memperbarui sistem serta memeriksa tanda-tanda akses tidak sah.

Serangan ini pertama kali terdeteksi pada 6 Oktober oleh Defused, yang menemukan eksploitasi misterius terhadap perangkat FortiWeb untuk membuat akun admin baru. Sejak itu, serangan meningkat dan aktor ancaman terlihat menyebarkan eksploit secara global.

Menurut penelitian terbaru dari Daniel Card (PwnDefend) dan Defused, kerentanan tersebut memungkinkan aktor mengakses endpoint berikut:

/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi

Aktor ancaman mengirim permintaan HTTP POST ke jalur tersebut, membawa payload yang secara otomatis membuat akun admin lokal di perangkat target. Peneliti menemukan sejumlah akun yang dibuat dengan kombinasi nama pengguna seperti Testpoint, trader1, dan trader, serta kata sandi seperti 3eMIXX43, AFT3$tH4ck, dan AFT3$tH4ckmet0d4yaga!n.

Serangan dilacak berasal dari berbagai alamat IP, termasuk 107.152.41.19, 144.31.1.63, blok 185.192.70.0/24, dan 64.95.13.8. Peneliti watchTowr Labs telah mengonfirmasi kerentanan ini melalui demonstrasi yang menunjukkan kegagalan login awal, eksekusi eksploit, dan keberhasilan login sebagai admin baru.

watchTowr juga merilis alat bernama FortiWeb Authentication Bypass Artifact Generator, yang mencoba mengeksploitasi kerentanan dengan membuat akun admin acak berkarakter delapan, memudahkan para defender mengidentifikasi perangkat yang rentan.

Rapid7 menguji eksploit tersebut pada beberapa versi perangkat lunak dan menyimpulkan bahwa kerentanan memengaruhi seluruh versi FortiWeb hingga 8.0.1. Perbaikan hadir di versi 8.0.2, yang diperkirakan dirilis pada akhir Oktober. Meski demikian, hingga saat ini belum ada pengungkapan resmi di laman PSIRT Fortinet yang secara eksplisit mencantumkan kerentanan tersebut.

Karena eksploitasi berlangsung aktif, administrator disarankan untuk memeriksa perangkat mereka dari akun admin yang mencurigakan, meninjau log untuk permintaan menuju jalur fwbcgi, dan memonitor aktivitas dari IP yang telah diidentifikasi. Selain itu, antarmuka manajemen FortiWeb sebaiknya tidak dibiarkan dapat diakses dari internet, dan harus dibatasi hanya ke jaringan tepercaya atau akses berbasis VPN.