Rapid7 heeft een rapport uitgebracht over een kwetsbaarheid in de management interface van Fortinet’s FortiWeb. Volgens Fortinet is er nog geen patch voor de kwetsbaarheid en had Rapid7 het rapport nog niet mogen uitbrengen.
Afgelopen juni ontdekte Rapid7 onderzoeker William Vu de kwetsbaarheid in de management interface van FortiWeb. De fout is specifiek aanwezig in versie 6.3.11 en eerdere versies. De kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige commando’s uit te voeren in het systeem via de SAML server configuratiepagina.
In een gedetailleerd rapport onthult Rapid7 hoe de kwetsbaarheid precies werkt. Een aanvaller die al toegang heeft tot de management interface van het FortiWeb-toestel kan commando’s invoeren via backticks in het ‘Name’ invulveld van de SAML Server configuratiepagina.
Volgens het rapport van Rapid7 bracht Fortinet kort na het ontdekken van de fout een patch uit voor het probleem. Daarom adviseert het rapport dat FortiWeb-gebruikers de patch zo snel mogelijk installeren. Als het niet mogelijk is de patch te installeren, kun je de FortiWeb management interface het beste blokkeren voor onvertrouwde netwerken, waaronder het internet.
Fortinet: ‘Rapport had nog niet uitgebracht mogen worden’
Het rapport dat Rapid7 uitbracht over de Fortinet-kwetsbaarheid zorgde voor de nodige ophef. Volgens Fortinet is er nog helemaal geen patch voor de kwetsbaarheid. Rapid7 zou Fortinet niet voldoende tijd hebben gegeven om het probleem aan te pakken.
In zijn rapport vertelt Rapid7 dat de kwetsbaarheid te maken heeft met CVE-2021-22123, welke werd aangepakt met de FR-IR-20-120 patch. Ook geeft Rapid7 een oplossing voor gebruikers die niet de mogelijkheid hebben om de patch te installeren.
Kort nadat het Rapid7-rapport werd onthuld, nam een woordvoerder van Fortinet contact op met ZDNet. In het gesprek gaf Fortinet kritiek op Rapid7 voor het schenden van de voorwaarden in zijn geheimhoudingsovereenkomst.
Fortinet vertelt dat het bedrijf verwachtte dat Rapid7 minimaal 90 dagen zou wachten tot het zijn bevindingen openbaar zou maken. Vooral het feit dat Rapid7 voor het onthullen van het rapport geen contact meer heeft opgenomen met Fortinet schiet in het verkeerde keelgat.
Volgens Fortinet is er nog geen patch voor de kwetsbaarheid. Deze wordt aan het einde van deze week pas uitgerold. Als reactie op het statement heeft Rapid7 zijn rapport aangepast om te vermelden dat de oplossing voor de kwetsbaarheid eind augustus uitkomt.