همانطور که انتظار میرفت، مهاجمان سایبری حمله کرده اند در اجرای کد از راه دور بحرانی (RCE) آسیب پذیری در سرور مدیریت سازمانی Fortinet (EMS) که هفته گذشته وصله شد و به آنها اجازه می داد کدها و دستورات دلخواه را با امتیازات مدیریت سیستم در سیستم های آسیب دیده اجرا کنند.

نقص، ردیابی به عنوان CVE-2024-48788 با امتیاز 9.3 از 10 CVSS آسیب‌پذیری-شدت، یکی از سه موردی بود که آژانس امنیت سایبری و امنیت زیرساخت (CISA) در 25 مارس به آن اضافه کرد. کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده، که آسیب پذیری های امنیتی را تحت بهره برداری فعال نگه می دارد. Fortinet که به کاربران در مورد این نقص هشدار داد و همچنین آن را در اوایل این ماه وصله کرد، همچنین بی سر و صدا آن را به روز کرد مشاوره امنیتی به بهره برداری آن توجه شود.

به طور خاص، این نقص در FortiClient EMS، نسخه VM کنسول مدیریت مرکزی FortiClient یافت می‌شود. از یک سرچشمه می گیرد خطای تزریق SQL در یک جزء ذخیره‌سازی مستقیم متصل به سرور و توسط ارتباطات بین سرور و نقاط پایانی متصل به آن تحریک می‌شود.

طبق توصیه Fortinet، «خنثی‌سازی نامناسب عناصر ویژه مورد استفاده در یک فرمان SQL... آسیب‌پذیری [CWE-89] در FortiClientEMS ممکن است به مهاجم غیرمجاز اجازه دهد تا کد یا دستورات غیرمجاز را از طریق درخواست‌های ساخته‌شده خاص اجرا کند».

Proof-of-Concept Exploit برای CVE-2024-48788

بهره برداری فعلی از نقص به دنبال انتشار هفته گذشته a اثبات مفهوم (PoC) کد اکسپلویت و همچنین تجزیه و تحلیل توسط محققان در Horizon.ai توضیح اینکه چگونه می توان از این نقص بهره برداری کرد.

محققان Horizon.ai کشف کردند که این نقص در نحوه تعامل سرویس اصلی سرور مسئول برقراری ارتباط با مشتریان نقطه پایانی ثبت‌شده - FcmDaemon.exe - با آن مشتریان است. به طور پیش فرض، این سرویس به پورت 8013 برای اتصالات ورودی مشتری گوش می دهد، که محققان از آن برای توسعه PoC استفاده کردند.

سایر اجزای سرور که با این سرویس تعامل دارند، یک سرور دسترسی به داده، FCTDas.exe است که مسئول ترجمه درخواست‌ها از سایر اجزای سرور دیگر به درخواست‌های SQL برای تعامل با پایگاه داده مایکروسافت SQL Server است.

بهره برداری از نقص Fortinet

برای بهره‌برداری از این نقص، محققان Horizon.ai ابتدا با پیکربندی یک نصب‌کننده و استقرار یک سرویس گیرنده نقطه پایانی، ارتباطات معمولی بین مشتری و سرویس FcmDaemon را مشخص کردند.

جیمز هورسمن، توسعه‌دهنده اکسپلویت Horizon.ai توضیح داد: «ما دریافتیم که ارتباطات معمولی بین یک سرویس گیرنده نقطه پایانی و FcmDaemon.exe با TLS رمزگذاری شده‌اند، و به نظر نمی‌رسد راه آسانی برای حذف کلیدهای جلسه TLS برای رمزگشایی ترافیک قانونی وجود داشته باشد. در پست.

سپس تیم جزئیاتی را از گزارش سرویس در مورد ارتباطات جمع آوری کرد که اطلاعات کافی برای نوشتن یک اسکریپت پایتون برای برقراری ارتباط با FcmDaemon در اختیار محققان قرار داد. Horseman نوشت، پس از مدتی آزمون و خطا، تیم توانست قالب پیام را بررسی کند و "ارتباط معنی دار" را با سرویس FcmDaemon فعال کند تا تزریق SQL را آغاز کند.

ما یک محموله خواب ساده از فرم ایجاد کردیم AND 1=0; او در این پست توضیح داد: تاخیر در انتظار '00:00:10' — '. ما متوجه تأخیر 10 ثانیه‌ای در پاسخ شدیم و می‌دانستیم که ما باعث سوءاستفاده شده‌ایم.»

به گفته Horseman، برای تبدیل این آسیب‌پذیری تزریق SQL به یک حمله RCE، محققان از عملکرد xp_cmdshell داخلی Microsoft SQL Server برای ایجاد PoC استفاده کردند. در ابتدا پایگاه داده برای اجرای دستور xp_cmdshell پیکربندی نشده بود. با این حال، با چند دستور SQL دیگر به طور پیش پا افتاده فعال شد.

مهم است که توجه داشته باشید که PoC تنها با استفاده از یک تزریق ساده SQL بدون xp_cmdshell آسیب پذیری را تأیید می کند. Horseman افزود، برای اینکه مهاجم بتواند RCE را فعال کند، PoC باید تغییر کند.

حملات سایبری در فورتی نت افزایش می یابد. Patch Now

اشکالات Fortinet اهداف محبوبی هستند برای مهاجمان، به عنوان کریس بوید، مهندس تحقیقات کارکنان در شرکت امنیتی تنبل در مشاوره خود هشدار داد در مورد نقصی که در ابتدا در 14 مارس منتشر شد. او به عنوان مثال چندین نقص دیگر Fortinet را ذکر کرد - مانند CVE-2023-27997 ، یک آسیب‌پذیری بحرانی سرریز بافر مبتنی بر پشته در چندین محصول Fortinet، و CVE-2022-40684 ، یک نقص دور زدن احراز هویت در فناوری‌های FortiOS، FortiProxy و FortiSwitch Manager – که توسط عوامل تهدید مورد سوء استفاده قرار می گیرد. در واقع، باگ اخیر حتی به منظور دسترسی اولیه مهاجمان به سیستم ها فروخته شد.

همانطور که کد اکسپلویت منتشر شده است و با سوء استفاده قبلی از نقص های Fortinet توسط عوامل تهدید، از جمله عوامل تهدید مداوم پیشرفته (APT) بوید در به‌روزرسانی توصیه‌های خود پس از انتشار Horizon.ai نوشت.

Fortinet و CISA همچنین از مشتریانی که از فرصت بین مشاوره اولیه و انتشار اکسپلویت PoC استفاده نکرده‌اند، می‌خواهند. پچ سرورها بلافاصله در برابر این آخرین نقص آسیب پذیر است.

Horizon.ai Horizon.ai برای کمک به شناسایی اینکه آیا این نقص تحت بهره برداری است، نحوه شناسایی شاخص های سازش (IoC) را در یک محیط توضیح داد. او نوشت: «فایل‌های گزارش مختلفی در C:Program Files (x86)FortinetFortiClientEMSlogs وجود دارد که می‌توان آن‌ها را از نظر اتصالات مشتریان ناشناس یا سایر فعالیت‌های مخرب بررسی کرد. گزارش‌های MS SQL همچنین می‌توانند برای شواهدی مبنی بر استفاده از xp_cmdshell برای به دست آوردن اجرای دستور بررسی شوند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack