Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
FortiWeb tiene una vulnerabilidad crítica de inyección SQL en el componente Fabric Connector, que permite a un atacante remoto evadir la autenticación enviando encabezados "Authorization" maliciosos. Esta falla puede escalar a ejecución remota de código (RCE) mediante la escritura de archivos en el sistema y el uso de scripts existentes, lo que permite ejecutar comandos con privilegios elevados.
Versiones afectadas de Fortiweb
- 7.6.0–7.6.3
- 7.4.0–7.4.7
- 7.2.0–7.2.10
- 7.0.0–7.0.10
Solución
Aplicar los parches oficiales:
- 7.6.x → 7.6.4+
- 7.4.x → 7.4.8+
- 7.2.x → 7.2.11+
- 7.0.x → 7.0.11+
Indicadores de ataque
Encabezados HTTP maliciosos:
- Authorization: Bearer AAAAAA'or'1'='1
- Con comentarios `/**/` para evadir `sscanf()
Recomendaciones
- Segmentar redes que alojan dispositivos FortiWeb, restringiendo su acceso desde Internet o redes admin.
- Monitoreo de logs implementar alertas por uso de endpoints `/api/fabric/...` y logs de CGI/Python.