HackerNews 编译，转载请注明出处： 一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证（PoC）利用代码。该漏洞允许远程攻击者绕过身份验证。 该漏洞已负责任地报告给 Fortinet，现被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布了修复程序。 安全研究员 Aviv Y 将此漏洞命名为 FortMajeure，并描述其为“一种本不应发生的静默失效”。从技术上讲，这是 FortiWeb 的 cookie 解析过程中的一个越界读取（out-of-bounds read）漏洞，允许攻击者将 Era参数设置为非预期值。 这导致服务器使用全零密钥（all-zero secret key）进行会话加密和 HMAC 签名，使得伪造身份验证 cookie 变得轻而易举。 成功利用该漏洞会导致完全的身份验证绕过，允许攻击者冒充任何活跃用户，包括管理员。 要成功利用 CVE-2025-52970，目标用户在攻击期间必须拥有活跃会话，并且攻击者必须暴力破解 cookie 中的一个小的数字字段。 这个暴力破解要求源于签名 cookie 中的一个字段，该字段由 libncfg.so中的 refresh_total_logins()函数进行验证。 该字段是一个攻击者必须猜测的未知数字，但研究员指出其范围通常不会超过 30，这使其搜索空间非常小，大约只需 30 次请求。 由于该利用利用了全零密钥（归因于 Era漏洞），每次猜测都可以通过检查伪造的 cookie 是否被接受来即时验证。 该问题影响 FortiWeb 7.0 至 7.6 版本，并已在以下版本中修复： FortiWeb 7.6.4 及更高版本 FortiWeb 7.4.8 及更高版本 FortiWeb 7.2.11 及更高版本 FortiWeb 7.0.11 及更高版本 Fortinet 在公告中表示，FortiWeb 8.0 版本不受此问题影响，因此用户无需采取任何措施。 安全公告未列出任何变通办法或缓解建议，因此升级到安全版本是唯一推荐的有效措施。 Fortinet 给出的 CVSS 严重性评分为 7.7，这可能会产生误导，因为该分数源于“高攻击复杂性”（high attack complexity），而这主要是由于暴力破解的要求。然而在实践中，暴力破解部分操作简单且快速。 研究员分享了一个 PoC 输出结果，展示了在 REST 端点上冒充管理员的情况。不过，他暂时保留了能够通过 /ws/cli/open连接到 FortiWeb CLI 的完整利用代码。 研究员 Aviv Y 承诺稍后将发布完整的漏洞利用细节，因为供应商的公告发布不久。他做出此决定是为了给系统管理员更多时间来应用修复程序。 该研究员告诉 BleepingComputer，已发布的细节展示了问题的核心，但即使对于知识渊博的攻击者来说，也不足以推断出其余部分并开发出完整的武器化利用链。他解释说，攻击者将不得不逆向工程会话中的字段格式，考虑到 Fortinet 拥有自己的数据结构，这实际上并不可行。 尽管如此，必须立即采取行动来缓解此问题，因为黑客会密切关注这些公告，并准备在完整 PoC 出现时发动攻击。 Aviv Y 告诉 BleepingComputer，他尚未决定发布漏洞利用代码的具体日期，但计划给防御者留出时间来应对风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

美国 IT 软件公司 Ivanti 今天提醒客户，一个关键的 Sentry API 身份验证绕过漏洞正在被恶意利用。 Ivanti Sentry（前身为 MobileIron Sentry）在 MobileIron 部署中充当 Microsoft Exchange Server 等企业 ActiveSync 服务器或 Sharepoint 服务器等后端资源的守门员，它还可以充当 Kerberos 密钥分发中心代理（KKDCP）服务器。 网络安全公司 mnemonic 的研究人员发现并报告了这个关键漏洞（CVE-2023-38035），未经身份验证的攻击者可以通过 MobileIron 配置服务（MICS）使用的 8443 端口访问敏感的管理门户配置 API。 攻击者利用限制性不足的 Apache HTTPD 配置绕过身份验证控制后，就可以实现这一点。 成功利用后，他们就可以在运行 Ivanti Sentry 9.18 及以前版本的系统上更改配置、运行系统命令或写入文件。 Ivanti 建议管理员不要将 MICS 暴露在互联网上，并限制对内部管理网络的访问。   Ivanti 表示：”截至目前，我们仅发现少数客户受到 CVE-2023-38035 的影响。该漏洞不会影响其他 Ivanti 产品或解决方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM”。 随后，该公司补充说：”在得知该漏洞后，我们立即调动资源修复该问题，并为所有支持版本提供了RPM脚本。我们建议客户首先升级到支持的版本，然后应用专门为其版本设计的 RPM 脚本”。 四月份以来被攻击利用的其他 Ivanti 漏洞 自 4 月份以来，国家支持的黑客已经利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前称为 MobileIron Core）中的另外两个安全漏洞。 其中一个（被追踪为 CVE-2023-35078）是一个重要的身份验证绕过漏洞，该漏洞作为零日漏洞被滥用，入侵了挪威多个政府实体的网络。 该漏洞还可与一个目录遍历漏洞（CVE-2023-35081）结合，使具有管理权限的威胁行为者能够在被入侵系统上部署网络外壳。 CISA在8月初发布的一份公告中说：高级持续威胁（APT）组织至少在2023年4月至2023年7月期间利用CVE-2023-35078作为零日漏洞，从多个挪威组织收集信息，并访问和入侵了一个挪威政府机构的网络。 在CISA与挪威国家网络安全中心（NCSC-NO）发布联合公告之前，本月早些时候曾发布命令，要求美国联邦机构在8月15日和8月21日前修补这两个被主动利用的漏洞。 一周前，Ivant 还修复了其企业移动管理（EMM）解决方案 Avalanche 软件中的两个关键的基于堆栈的缓冲区溢出，被追踪为 CVE-2023-32560，利用后可能导致崩溃和任意代码执行。     转自Freebuf，原文链接:https://www.freebuf.com/news/375839.html 封面来源于网络，如有侵权请联系删除