Wie erwartet, Cyberangreifer haben zugegriffen zu einer kritischen Remote-Code-Ausführung (RCE) Sicherheitslücke im Fortinet Enterprise Management Server (EMS) Das wurde letzte Woche gepatcht und ermöglichte es ihnen, beliebigen Code und Befehle mit Systemadministratorrechten auf betroffenen Systemen auszuführen.
Der Fehler, verfolgt als CVE-2024-48788 mit einem CVSS-Schweregrad-Score von 9.3 von 10 war einer von drei Punkten, die die Cybersecurity and Infrastructure Security Agency (CISA) am 25. März in ihre Liste aufgenommen hat Katalog bekannter ausgenutzter Schwachstellen, das Sicherheitslücken unter aktiver Ausnutzung verfolgt. Fortinet, das warnte Benutzer vor dem Fehler Es wurde nicht nur Anfang des Monats gepatcht, sondern auch stillschweigend aktualisiert Sicherheitsberatung seine Ausbeutung zur Kenntnis zu nehmen.
Konkret ist der Fehler in FortiClient EMS zu finden, der VM-Version der zentralen Verwaltungskonsole von FortiClient. Es stammt von einem SQL-Injection-Fehler in einer direkt angeschlossenen Speicherkomponente des Servers und wird durch die Kommunikation zwischen dem Server und den daran angeschlossenen Endpunkten vorangetrieben.
„Eine unsachgemäße Neutralisierung spezieller Elemente, die in einer SQL-Befehlsschwachstelle [CWE-89] in FortiClientEMS verwendet werden, kann es einem nicht authentifizierten Angreifer ermöglichen, nicht autorisierten Code oder Befehle über speziell gestaltete Anfragen auszuführen“, heißt es in der Fortinet-Beratung.
Proof-of-Concept-Exploit für CVE-2024-48788
Die aktuelle Ausnutzung des Fehlers folgt auf die Veröffentlichung von a Machbarkeitsnachweis (PoC) Exploit-Code sowie eine Analyse durch Forscher bei Horizon.ai Einzelheiten dazu, wie der Fehler ausgenutzt werden kann.
Forscher von Horizon.ai haben herausgefunden, dass der Fehler darin liegt, wie der Hauptdienst des Servers, der für die Kommunikation mit registrierten Endpunkt-Clients verantwortlich ist – FcmDaemon.exe – mit diesen Clients interagiert. Standardmäßig lauscht der Dienst auf Port 8013 auf eingehende Client-Verbindungen, die die Forscher zur Entwicklung des PoC nutzten.
Weitere Komponenten des Servers, die mit diesem Dienst interagieren, sind ein Datenzugriffsserver, FCTDas.exe, der für die Übersetzung von Anforderungen verschiedener anderer Serverkomponenten in SQL-Anforderungen verantwortlich ist, um dann mit der Microsoft SQL Server-Datenbank zu interagieren.
Ausnutzung des Fortinet-Fehlers
Um den Fehler auszunutzen, stellten die Forscher von Horizon.ai zunächst fest, wie die typische Kommunikation zwischen einem Client und dem FcmDaemon-Dienst aussehen sollte, indem sie ein Installationsprogramm konfigurierten und einen einfachen Endpunkt-Client bereitstellten.
„Wir haben festgestellt, dass die normale Kommunikation zwischen einem Endpunkt-Client und FcmDaemon.exe mit TLS verschlüsselt ist, und es schien keine einfache Möglichkeit zu geben, TLS-Sitzungsschlüssel auszugeben, um den legitimen Datenverkehr zu entschlüsseln“, erklärte James Horseman, Entwickler des Horizon.ai-Exploits in der Post.
Das Team entnahm dann dem Protokoll des Dienstes Details über die Kommunikation, was den Forschern genügend Informationen lieferte, um ein Python-Skript für die Kommunikation mit dem FcmDaemon zu schreiben. Nach einigen Versuchen konnte das Team das Nachrichtenformat untersuchen und eine „sinnvolle Kommunikation“ mit dem FcmDaemon-Dienst ermöglichen, um eine SQL-Injection auszulösen, schrieb Horseman.
„Wir haben eine einfache Schlafnutzlast der Form konstruiert ' UND 1=0; WAITFOR DELAY '00:00:10′ – '“, erklärte er in dem Beitrag. „Wir bemerkten die Verzögerung der Reaktion um 10 Sekunden und wussten, dass wir den Exploit ausgelöst hatten.“
Um diese SQL-Injection-Schwachstelle in einen RCE-Angriff umzuwandeln, verwendeten die Forscher laut Horseman die integrierte xp_cmdshell-Funktionalität von Microsoft SQL Server, um den PoC zu erstellen. „Ursprünglich war die Datenbank nicht für die Ausführung des Befehls xp_cmdshell konfiguriert; es wurde jedoch trivial mit ein paar anderen SQL-Anweisungen aktiviert“, schrieb er.
Es ist wichtig zu beachten, dass der PoC die Schwachstelle nur durch die Verwendung einer einfachen SQL-Injection ohne xp_cmdshell bestätigt; Damit ein Angreifer RCE aktivieren kann, muss der PoC geändert werden, fügte Horseman hinzu.
Cyberangriffe nehmen auf Fortinet zu; Jetzt patchen
Fortinet-Bugs sind beliebte Ziele für Angreifer, wie Chris Boyd, Forschungsingenieur bei einem Sicherheitsunternehmen Tenable warnte in seinem Gutachten über den Fehler, der ursprünglich am 14. März veröffentlicht wurde. Er nannte als Beispiele mehrere andere Fortinet-Fehler – wie z CVE-2023-27997, eine kritische Heap-basierte Pufferüberlauf-Schwachstelle in mehreren Fortinet-Produkten und CVE-2022-40684, ein Authentifizierungsumgehungsfehler in den Technologien FortiOS, FortiProxy und FortiSwitch Manager – das war von Bedrohungsakteuren ausgenutzt werden. Tatsächlich wurde letzterer Fehler sogar verkauft, um Angreifern ersten Zugriff auf Systeme zu ermöglichen.
„Da Exploit-Code veröffentlicht wurde und Fortinet-Schwachstellen in der Vergangenheit durch Bedrohungsakteure missbraucht wurden, einschließlich Advanced Persistent Threat (APT)-Akteure und nationalstaatlicher Gruppen empfehlen wir dringend, diese Schwachstelle so schnell wie möglich zu beheben“, schrieb Boyd in einer Aktualisierung seiner Empfehlung nach der Veröffentlichung von Horizon.ai.
Fortinet und die CISA fordern auch Kunden, die das Zeitfenster zwischen der ersten Empfehlung und der Veröffentlichung des PoC-Exploits nicht genutzt haben, dazu auf Patch-Server sofort anfällig für diesen neuesten Fehler.
Um Organisationen dabei zu helfen, herauszufinden, ob die Schwachstelle ausgenutzt wird, erklärte Horseman von Horizon.ai, wie man Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) in einer Umgebung identifiziert. „Es gibt verschiedene Protokolldateien in C:Program Files (x86)FortinetFortiClientEMSlogs, die auf Verbindungen von nicht erkannten Clients oder andere böswillige Aktivitäten untersucht werden können“, schrieb er. „Die MS SQL-Protokolle können auch auf Hinweise darauf untersucht werden, dass xp_cmdshell verwendet wird, um die Befehlsausführung zu erhalten.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
