كما هو متوقع، وقد انقض المهاجمون السيبرانيون حول تنفيذ التعليمات البرمجية عن بعد (RCE) ثغرة أمنية في خادم إدارة المؤسسات Fortinet (EMS) تم تصحيحه الأسبوع الماضي، مما سمح لهم بتنفيذ تعليمات برمجية وأوامر عشوائية بامتيازات مسؤول النظام على الأنظمة المتأثرة.
الخلل المتعقب CVE-2024-48788 مع درجة 9.3 من أصل 10 درجات لخطورة الضعف في نظام CVSS، كانت واحدة من ثلاث نقاط أضافتها وكالة الأمن السيبراني وأمن البنية التحتية (CISA) في 25 مارس إلى تصنيفها. كتالوج الثغرات الأمنية المعروف، الذي يتتبع الثغرات الأمنية في ظل الاستغلال النشط. فورتينت التي وحذر المستخدمين من الخلل بالإضافة إلى تصحيحه في وقت سابق من هذا الشهر، وتحديثه أيضًا بهدوء الاستشارات الأمنية للإشارة إلى استغلالها.
على وجه التحديد، تم العثور على الخلل في FortiClient EMS، إصدار VM لوحدة التحكم الإدارية المركزية لـ FortiClient. إنه ينبع من خطأ في إدخال SQL في مكون تخزين متصل مباشرة بالخادم ويتم تحفيزه عن طريق الاتصالات بين الخادم ونقاط النهاية المرتبطة به.
"إن التحييد غير الصحيح للعناصر الخاصة المستخدمة في أمر SQL... الثغرة الأمنية [CWE-89] في FortiClientEMS قد يسمح لمهاجم غير مصادق بتنفيذ تعليمات برمجية أو أوامر غير مصرح بها عبر طلبات معدة خصيصًا،" وفقًا لاستشارات Fortinet.
استغلال إثبات المفهوم لـ CVE-2024-48788
يأتي الاستغلال الحالي للخلل بعد إصدار ملف a إثبات المفهوم (PoC) استغلال التعليمات البرمجية وكذلك التحليل بواسطة الباحثون في Horizon.ai بالتفصيل كيف يمكن استغلال الخلل.
اكتشف باحثو Horizon.ai أن الخلل يكمن في كيفية تفاعل الخدمة الرئيسية للخادم المسؤولة عن التواصل مع عملاء نقطة النهاية المسجلين - FcmDaemon.exe - مع هؤلاء العملاء. افتراضيًا، تستمع الخدمة على المنفذ 8013 لاتصالات العميل الواردة، والتي استخدمها الباحثون لتطوير إثبات المفهوم (PoC).
المكونات الأخرى للخادم التي تتفاعل مع هذه الخدمة هي خادم الوصول إلى البيانات، FCTDas.exe، وهو المسؤول عن ترجمة الطلبات من مختلف مكونات الخادم الأخرى إلى طلبات SQL للتفاعل بعد ذلك مع قاعدة بيانات Microsoft SQL Server.
استغلال ثغرة فورتينت
للبدء في استغلال الثغرة، حدد باحثو Horizon.ai أولاً الشكل الذي يجب أن تبدو عليه الاتصالات النموذجية بين العميل وخدمة FcmDaemon من خلال تكوين أداة التثبيت ونشر عميل نقطة النهاية الأساسي.
"لقد وجدنا أن الاتصالات العادية بين عميل نقطة النهاية وFcmDaemon.exe مشفرة باستخدام TLS، ولا يبدو أن هناك طريقة سهلة لتفريغ مفاتيح جلسة TLS لفك تشفير حركة المرور المشروعة،" أوضح جيمس هورسمان، مطور استغلال Horizon.ai. في هذا المنصب.
بعد ذلك، حصل الفريق على تفاصيل من سجل الخدمة حول الاتصالات، والتي زودت الباحثين بمعلومات كافية لكتابة نص بايثون للتواصل مع FcmDaemon. وكتب هورسمان أنه بعد بعض التجارب والخطأ، تمكن الفريق من فحص تنسيق الرسالة وتمكين "الاتصال الهادف" مع خدمة FcmDaemon لتشغيل حقن SQL.
"لقد قمنا ببناء حمولة نوم بسيطة للنموذج 'و 1=0; انتظر التأخير '00:00:10' - '،' أوضح في المنشور. "لقد لاحظنا تأخيرًا مدته 10 ثوانٍ في الاستجابة وأدركنا أننا قمنا بتفعيل الثغرة الأمنية."
ولتحويل ثغرة حقن SQL هذه إلى هجوم RCE، استخدم الباحثون وظيفة xp_cmdshell المضمنة في Microsoft SQL Server لإنشاء إثبات المفهوم (PoC)، وفقًا لما قاله Horseman. "في البداية، لم يتم تكوين قاعدة البيانات لتشغيل الأمر xp_cmdshell؛ ومع ذلك، فقد تم تمكينه بشكل تافه مع عدد قليل من عبارات SQL الأخرى.
من المهم ملاحظة أن إثبات المفهوم (PoC) يؤكد الثغرة الأمنية فقط باستخدام حقنة SQL بسيطة بدون xp_cmdshell؛ وأضاف هورسمان أنه لكي يتمكن المهاجم من تمكين RCE، يجب تغيير إثبات المفهوم (PoC).
تصاعد الهجمات الإلكترونية على لعبة Fortinet؛ التصحيح الآن
تعتبر أخطاء Fortinet أهدافًا شائعة للمهاجمين، مثل كريس بويد، مهندس أبحاث الموظفين في شركة أمنية وحذر تينابل في مشورته حول الخلل الذي تم نشره في الأصل في 14 مارس. واستشهد كأمثلة بالعديد من عيوب Fortinet الأخرى - مثل CVE-2023-27997، ثغرة أمنية خطيرة لتجاوز سعة المخزن المؤقت المستندة إلى الكومة في العديد من منتجات Fortinet، و CVE-2022-40684، ثغرة في تجاوز المصادقة في تقنيات FortiOS وFortiProxy وFortiSwitch Manager - التي كانت استغلالها من قبل الجهات التهديدية. في الواقع، تم بيع الثغرة الأخيرة بغرض منح المهاجمين إمكانية الوصول الأولي إلى الأنظمة.
"مع إطلاق تعليمات برمجية للاستغلال ومع إساءة استخدام عيوب Fortinet في الماضي من قبل جهات التهديد، بما في ذلك الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT). وكتب بويد في تحديث لاستشارته بعد إصدار Horizon.ai: "نوصي بشدة بمعالجة هذه الثغرة الأمنية في أقرب وقت ممكن".
تحث Fortinet وCISA أيضًا العملاء الذين لم يستغلوا الفرصة السانحة بين الاستشارة الأولية وإطلاق استغلال PoC على خوادم التصحيح عرضة لهذا الخلل الأخير على الفور.
ولمساعدة المؤسسات على تحديد ما إذا كان الخلل قيد الاستغلال، أوضح هورسمان من Horizon.ai كيفية تحديد مؤشرات التسوية (IoCs) في البيئة. وكتب: "هناك العديد من ملفات السجل في C:Program Files (x86)FortinetFortiClientEMSlogs التي يمكن فحصها بحثًا عن اتصالات من عملاء غير معروفين أو أنشطة ضارة أخرى". "يمكن أيضًا فحص سجلات MS SQL للحصول على دليل على استخدام xp_cmdshell للحصول على تنفيذ الأمر."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
