همانطور که انتظار میرفت، مهاجمان سایبری حمله کرده اند در اجرای کد از راه دور بحرانی (RCE) آسیب پذیری در سرور مدیریت سازمانی Fortinet (EMS) که هفته گذشته وصله شد و به آنها اجازه می داد کدها و دستورات دلخواه را با امتیازات مدیریت سیستم در سیستم های آسیب دیده اجرا کنند.
نقص، ردیابی به عنوان CVE-2024-48788 با امتیاز 9.3 از 10 CVSS آسیبپذیری-شدت، یکی از سه موردی بود که آژانس امنیت سایبری و امنیت زیرساخت (CISA) در 25 مارس به آن اضافه کرد. کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده، که آسیب پذیری های امنیتی را تحت بهره برداری فعال نگه می دارد. Fortinet که به کاربران در مورد این نقص هشدار داد و همچنین آن را در اوایل این ماه وصله کرد، همچنین بی سر و صدا آن را به روز کرد مشاوره امنیتی به بهره برداری آن توجه شود.
به طور خاص، این نقص در FortiClient EMS، نسخه VM کنسول مدیریت مرکزی FortiClient یافت میشود. از یک سرچشمه می گیرد خطای تزریق SQL در یک جزء ذخیرهسازی مستقیم متصل به سرور و توسط ارتباطات بین سرور و نقاط پایانی متصل به آن تحریک میشود.
طبق توصیه Fortinet، «خنثیسازی نامناسب عناصر ویژه مورد استفاده در یک فرمان SQL... آسیبپذیری [CWE-89] در FortiClientEMS ممکن است به مهاجم غیرمجاز اجازه دهد تا کد یا دستورات غیرمجاز را از طریق درخواستهای ساختهشده خاص اجرا کند».
Proof-of-Concept Exploit برای CVE-2024-48788
بهره برداری فعلی از نقص به دنبال انتشار هفته گذشته a اثبات مفهوم (PoC) کد اکسپلویت و همچنین تجزیه و تحلیل توسط محققان در Horizon.ai توضیح اینکه چگونه می توان از این نقص بهره برداری کرد.
محققان Horizon.ai کشف کردند که این نقص در نحوه تعامل سرویس اصلی سرور مسئول برقراری ارتباط با مشتریان نقطه پایانی ثبتشده - FcmDaemon.exe - با آن مشتریان است. به طور پیش فرض، این سرویس به پورت 8013 برای اتصالات ورودی مشتری گوش می دهد، که محققان از آن برای توسعه PoC استفاده کردند.
سایر اجزای سرور که با این سرویس تعامل دارند، یک سرور دسترسی به داده، FCTDas.exe است که مسئول ترجمه درخواستها از سایر اجزای سرور دیگر به درخواستهای SQL برای تعامل با پایگاه داده مایکروسافت SQL Server است.
بهره برداری از نقص Fortinet
برای بهرهبرداری از این نقص، محققان Horizon.ai ابتدا با پیکربندی یک نصبکننده و استقرار یک سرویس گیرنده نقطه پایانی، ارتباطات معمولی بین مشتری و سرویس FcmDaemon را مشخص کردند.
جیمز هورسمن، توسعهدهنده اکسپلویت Horizon.ai توضیح داد: «ما دریافتیم که ارتباطات معمولی بین یک سرویس گیرنده نقطه پایانی و FcmDaemon.exe با TLS رمزگذاری شدهاند، و به نظر نمیرسد راه آسانی برای حذف کلیدهای جلسه TLS برای رمزگشایی ترافیک قانونی وجود داشته باشد. در پست.
سپس تیم جزئیاتی را از گزارش سرویس در مورد ارتباطات جمع آوری کرد که اطلاعات کافی برای نوشتن یک اسکریپت پایتون برای برقراری ارتباط با FcmDaemon در اختیار محققان قرار داد. Horseman نوشت، پس از مدتی آزمون و خطا، تیم توانست قالب پیام را بررسی کند و "ارتباط معنی دار" را با سرویس FcmDaemon فعال کند تا تزریق SQL را آغاز کند.
ما یک محموله خواب ساده از فرم ایجاد کردیم AND 1=0; او در این پست توضیح داد: تاخیر در انتظار '00:00:10' — '. ما متوجه تأخیر 10 ثانیهای در پاسخ شدیم و میدانستیم که ما باعث سوءاستفاده شدهایم.»
به گفته Horseman، برای تبدیل این آسیبپذیری تزریق SQL به یک حمله RCE، محققان از عملکرد xp_cmdshell داخلی Microsoft SQL Server برای ایجاد PoC استفاده کردند. در ابتدا پایگاه داده برای اجرای دستور xp_cmdshell پیکربندی نشده بود. با این حال، با چند دستور SQL دیگر به طور پیش پا افتاده فعال شد.
مهم است که توجه داشته باشید که PoC تنها با استفاده از یک تزریق ساده SQL بدون xp_cmdshell آسیب پذیری را تأیید می کند. Horseman افزود، برای اینکه مهاجم بتواند RCE را فعال کند، PoC باید تغییر کند.
حملات سایبری در فورتی نت افزایش می یابد. Patch Now
اشکالات Fortinet اهداف محبوبی هستند برای مهاجمان، به عنوان کریس بوید، مهندس تحقیقات کارکنان در شرکت امنیتی تنبل در مشاوره خود هشدار داد در مورد نقصی که در ابتدا در 14 مارس منتشر شد. او به عنوان مثال چندین نقص دیگر Fortinet را ذکر کرد - مانند CVE-2023-27997 ، یک آسیبپذیری بحرانی سرریز بافر مبتنی بر پشته در چندین محصول Fortinet، و CVE-2022-40684 ، یک نقص دور زدن احراز هویت در فناوریهای FortiOS، FortiProxy و FortiSwitch Manager – که توسط عوامل تهدید مورد سوء استفاده قرار می گیرد. در واقع، باگ اخیر حتی به منظور دسترسی اولیه مهاجمان به سیستم ها فروخته شد.
همانطور که کد اکسپلویت منتشر شده است و با سوء استفاده قبلی از نقص های Fortinet توسط عوامل تهدید، از جمله عوامل تهدید مداوم پیشرفته (APT) بوید در بهروزرسانی توصیههای خود پس از انتشار Horizon.ai نوشت.
Fortinet و CISA همچنین از مشتریانی که از فرصت بین مشاوره اولیه و انتشار اکسپلویت PoC استفاده نکردهاند، میخواهند. پچ سرورها بلافاصله در برابر این آخرین نقص آسیب پذیر است.
Horizon.ai Horizon.ai برای کمک به شناسایی اینکه آیا این نقص تحت بهره برداری است، نحوه شناسایی شاخص های سازش (IoC) را در یک محیط توضیح داد. او نوشت: «فایلهای گزارش مختلفی در C:Program Files (x86)FortinetFortiClientEMSlogs وجود دارد که میتوان آنها را از نظر اتصالات مشتریان ناشناس یا سایر فعالیتهای مخرب بررسی کرد. گزارشهای MS SQL همچنین میتوانند برای شواهدی مبنی بر استفاده از xp_cmdshell برای به دست آوردن اجرای دستور بررسی شوند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack