Angriffe wahrscheinlich: Exploit für FortiWeb-Lücke verfügbar

Am Donnerstag der vergangenen Woche hat Fortinet Sicherheitsupdates veröffentlicht – die gravierendste Schwachstelle betrifft FortiWeb. Angreifer können eine SQL-Injection-Schwachstelle in nicht aktualisierten Systemen missbrauchen. IT-Forscher haben als Proof-of-Concept Exploit-Code veröffentlicht. Bösartige Akteure können verwundbare Systeme damit attackieren – IT-Verantwortliche sollten die Updates daher rasch installieren.

Die Sicherheitslücke in FortiWeb ermöglicht nicht angemeldeten Nutzern aus dem Netz, SQL-Befehle mit manipulierten HTTP- oder HTTPS-Anfragen einzuschleusen. Die werden nicht ausreichend von der Web-Application-Firewall (WAF) gefiltert und ermöglichen dadurch den Missbrauch, der Angreifern das Ausführen beliebigen Codes erlaubt (CVE-2025-25257, CVSS 9.6, Risiko „kritisch“). Die FortiWeb-Versionen 7.6.4, 7.4.8, 7.2.11 sowie 7.0.11 und neuere stopfen das Sicherheitsleck und stehen zum Herunterladen bereit.

Detailanalyse und Proof-of-Concept (PoC)

Die IT-Sicherheitsforscher von Watchtowr haben die Sicherheitslücke genauer untersucht. Sarkastisch leiten sie ihre Analyse mit den Worten ein: „Um fair zu bleiben, die Secure-by-Design-Zusicherung hat von Unterzeichnern nicht verlangt, dass sie SQL-Injections vermeiden sollen, daher haben wir nichts zu sagen.“ Die Secure-by-Design-Kampagne der US-Behörden CISA und FBI hat den SQL-Injections jedoch sogar ein eigenes Dokument mit Empfehlungen und Hilfestellung gewidmet. Dementsprechend ist die Watchtowr-Analyse lang und ausufernd, die Forensiker haben eine Menge zu sagen.

Die Watchtowr-Analysten beschreiben etwa, wie sie sich an das Einschleusen von SQL-Befehlen herangetastet haben, mit einem einfachen Befehl, für fünf Sekunden zu schlafen, und anhand der Antwortzeit den Erfolg ablesen. Trotz vorbereiteter SQL-Abfragen (prepared statements, eine der empfohlenen Maßnahmen, SQL-Injection-Lücken zu vermeiden) auf der FortiWeb-Appliance gelingt ihnen das Einschleusen eigener Befehle.

Die IT-Forensiker von Watchtowr haben dort jedoch nicht aufgehört. „SQL-Injection vor der Authentifizierung am System macht Spaß“, schreiben sie, aber „die Achterbahn der Freude beginnt – können wir die MySQL-Injection in Codeausführung aus dem Netz ausweiten?“ Und natürlich finden sie einen Weg: Die Anweisung INTO OUTFILE schreibt Inhalte mit den Rechten des Users des MySQL-Prozesses. Das sollte üblicherweise ein eigens angelegter „mysql“-User sein, jedoch frotzeln die Forensiker, dass solche Details zu keiner Zusicherung wie der „Secure by Design“ gehören und Fortinet das daher nicht wissen könne – MySQL läuft auf den FortiWeb-Appliances als root (geneigte Leser mögen sich an dieser Stelle ein wohl platziertes „Head->Desk“-Meme vorstellen).

Eine weitere Hürde gab es noch zu umschiffen, mit INTO OUTFILE lassen sich lediglich neue Dateien anlegen und keine bestehenden überschreiben oder Daten anhängen. Aber natürlich finden die IT-Sicherheitsforscher auch dafür Wege, am Ende haben sie einen Exploit, der beliebigen Code durch die Schwachstelle ausführt – im konkreten Beispiel versucht das Python-Skript lediglich herauszufinden, ob eine Instanz verwundbar ist.

Ein weiterer Proof-of-Concept-Epxloit stammt von dem IT-Sicherheitsforscher mit dem Handle „faulty *ptrrr“. Auch er kam auf die Idee, mittels INTO OUTFILE am Exploit zu arbeiten; sein Weg zum Starten eigenen Python-Codes weicht jedoch geringfügig von der Watchtowr-Variante ab.

Diesen Code können bösartige Akteure schnell in ihre Exploit-Werkzeugkästen aufnehmen. Daher sollten FortiWeb-Admins jetzt zügig die bereitstehenden Updates installieren.

(dmk)