🔎 Cyberveille

64 readers

2 users here now

Bienvenue dans Cyberveille — un espace de partage et de discussion autour de l’actualité de la cybersécurité francophone, avec un accent suisse 🫕 et européen.

💡 Vocation

Partager les actualités, articles et rapports francophones sur la cybersécurité
Échanger sur les tendances, vulnérabilités, pratiques et outils du domaine
Proposer un espace d’entraide et de conseils : poser une question, demander un avis ou un retour d’expérience en matière de sécurité numérique.

💬 Thèmes principaux

🔐 Infosec · OSINT · Threat intel · Privacy · Blue Team · Sécurité des systèmes d’information · Législation et conformité

~Une partie du contenu provient du projet Cyberveille.ch , une veille francophone sur la cybersécurité gérée par un humain et un bot.~

founded 1 month ago

MODERATORS

decio@infosec.pub

[VULN] FortiWeb : double faille exploitée (traversée de chemin + contournement d’auth) pour usurper des comptes admin (cyberveille.ch)

submitted 2 weeks ago by decio@infosec.pub to c/cyberveille@infosec.pub

2 comments fedilink hide all child comments

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention.

L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process().

you are viewing a single comment's thread
view the rest of the comments

[–] decio@infosec.pub 1 points 2 weeks ago (1 children)

Faille critique de contournement d’authentification : un attaquant distant peut créer un compte administrateur et prendre le contrôle complet du WAF.

📌 Versions affectées (selon watchTowr) :

8.0 : versions antérieures à 8.0.2 7.6 : versions antérieures à 7.6.5 7.4 : versions antérieures à 7.4.10 7.2 : versions antérieures à 7.2.12 7.0 : versions antérieures à 7.0.12 6.4 : versions ≤ 6.4.3 6.3 : versions ≤ 6.3.23

🔧 Mitigation : ➡️ Il est recommandé d’utiliser une version corrigée (8.0.2+ / dernière version de votre branche). ➡️ Il est également préférable que l’interface d’admin ne soit pas exposée sur Internet, avec un accès limité à des IP de confiance et/ou via VPN.

Analyse technique & détection :

👇️

https://labs.watchtowr.com/when-the-impersonation-function-gets-used-to-impersonate-users-fortinet-fortiweb-auth-bypass/

Outil de génération d’artefacts (détection/PoC défense) :

📜 👇️

https://github.com/watchtowrlabs/watchTowr-vs-Fortiweb-AuthBypass?tab=readme-ov-file

Contexte exploitation in the wild :

🔗 🐦️ 👇️

https://x.com/watchtowrcyber/status/1989017336632996337

[–] decio@infosec.pub 1 points 2 weeks ago* (last edited 2 weeks ago)

Fortinet vient de publier l’advisory qui va avec… ou celui qui manquait.

🩹 👇️

https://www.fortiguard.com/psirt/FG-IR-25-910