Fortinet 修复SSL VPN 和 Web 防火墙中的严重漏洞

本月，FortiGuard Labs发布多个安全公告并在1月21日提到了 Fortinet 在产品中修复的多个严重漏洞。其中某些漏洞此前已报告但最近才在 FortiProxy SSL VPN 版本中才修复。

其中值得注意的是存在于 FortiProxy SSL VPN 中的漏洞CVE-2018-13381。远程未认证攻击者可通过一个构造的 POST 请求触发改漏洞。由于FortiProxy 的 SSL VPN 门户中存在一个缓冲区溢出漏洞，因此产品收到较大的特殊构造的 POST 请求时可使其崩溃，从而导致拒绝服务条件。同样，CVE-2018-13383可被滥用于通过 JavaScript 的 HREF 内容属性触发 VPN 中的溢出漏洞。

如果包含 JavaScript payload 的攻击者构造的网页被 FortiProxy SSL VPN 解析，则除了 DoS 外还可导致远程代码执行后果。尽管如此，由于漏洞在2021年1月被公开，因此可能有很多种方法导致 SQL 注入、RCE和 DoS 后果。FortiWeb Web Application Firewall 中的漏洞是由 Positive Technologies 公司的研究员 Andrey Medov 负责任地发现并报告的，“这四个漏洞中最严重的是 SQL 注入 (CVE-2020-29015)和缓冲区溢出漏洞（CVE-2020-29016），因为无需授权即可遭利用。前一个漏洞可因过度的 DBMS 用户权限获取系统管理员账户的哈希，从而在无需解析哈希值的情况下访问 API；第二个漏洞可导致任意代码执行。此外，格式字符串漏洞（CVE-2020-29018）也可导致代码执行后果，但利用它需要授权。“

此外，DEVCORE 安全研究团队的 Meh Chang 和 Orange Tsai 也因负责任地报告 FortiProxy SSL VPN 中的缺陷而收到致谢；FortiDeceptor RCE 漏洞由 Chua Wei Kiat 报告。

值得注意的是，很多漏洞被 NVD 评估为“高危“或”严重“级别 (CVSS 3.1 评分标准)。然而，目前尚不清楚 FortiGuard Labs 为何将它们评为中危级别。例如，未认证攻击者可在 Authorization 标头被注入恶意 SQL 语句，通过 Web 请求执行任意 SQL 查询或命令，利用FortiWeb 中的 SQL 盲注漏洞。这或许是 NVD 将其评为”严重“（CVSS 3.1 评分9.8）而 Fortinet 将其评为”中危“（6.4）的原因所在。

这样的案例在 Fortinet 公司并不少见。去年，研究员报告了通过存在一年之久的路径遍历漏洞可攻陷近5万易受攻击 Fortinet VPN的漏洞，其中一些 VPN 用于全球范围内的政府机构、电信行业、银行和金融组织机构。包含5万 VPN 的清单被公开后的同一周，另外一名黑客在黑客论坛上发布了这些 VPN 的明文凭据。

因此，建议 Fortinet 客户尽快升级至最新版本，免遭攻击。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。