Expertos en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en FortiWeb, el firewall de aplicaciones web (WAF) de la firma tecnológica Fortinet. La vulnerabilidad podría ser explotada para la ejecución de código arbitrario, lo que representa un riesgo crítico para los operadores de sistemas afectados, especialmente si la falla se encadena a otros errores recientemente descubiertos.
El investigador de Positive Technologies Andrey Medov asegura que la interfaz de administración de estos dispositivos se ve expuesta a la explotación de una falla que permitiría a los actores de amenazas autenticados ejecutar comandos remotos a través de la página de configuración del servidor SAML. Identificada como CVE-2021-22123, la falla fue abordada con el lanzamiento de v6.3.8 y v6.2.4 de FortiWeb.
El experto menciona que la falla puede ser explotada para la ejecución de comandos arbitrarios con altos privilegios, lo que permitiría a los atacantes tomar control completo de los servidores afectados. Medov agrega que el impacto de la vulnerabilidad puede ser aún más grave si se encadena con una configuración incorrecta y una vulnerabilidad separada reportada anteriormente.
La falla que puede encadenarse a este error es CVE-2020-29015 y fue revelada por Fortinet en enero pasado. La vulnerabilidad fue descrita como un problema de inyección SQL de alta severidad: “Si, como resultado de una configuración incorrecta, la interfaz de administración del firewall está disponible en Internet y el producto no está actualizado, la combinación de CVE-2021-22123 y CVE-2020-29015 permitiría que los atacantes penetre en la red interna.”
Si bien Positive Technologies presentó sus reportes en tiempo y forma, la firma enfrenta algunas acusaciones por la supuesta colaboración con el gobierno de Rusia, recibiendo incluso una sanción del gobierno de Estados Unidos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad