內容
上一篇 SSL VPN 研究系列文我們通報了在 Palo Alto GlobalProtect 上的 RCE 弱點,這一篇將公開我們在 Fortigate SSL VPN 上的研究,共計找到下列五個弱點:
- CVE-2018-13379: Pre-auth arbitrary file reading
- CVE-2018-13380: Pre-auth XSS
- CVE-2018-13381: Pre-auth heap overflow
- CVE-2018-13382: The magic backdoor
- CVE-2018-13383: Post-auth heap overflow
透過不需認證的任意讀檔問題(CVE-2018-13379)加上管理介面上的 heap overflow(CVE-2018-13383),惡意使用者可直接取得 SSL VPN 的最高權限。
此外,我們也發現了一個官方後門(CVE-2018-13382),可以任意修改使用者密碼。
在回報 Fortigate 後,官方已陸續修復這些弱點,建議 Fortigate SSL VPN 的用戶更新至最新版。
細節
詳細的技術細節請參閱我們的 Advisory:
https://devco.re/blog/2019/08/09/attacking-ssl-vpn-part-2-breaking-the-Fortigate-ssl-vpn/
附註
這系列 VPN 研究也得到了今年 BlackHat 2019 Pwnie Awards 的 “pwnie for best server-side bug”(年度最佳伺服器漏洞)。