Odotetusti, kyberhyökkääjät ovat hyökänneet kriittisessä etäkoodin suorituksessa (RCE) Fortinet Enterprise Management Serverin (EMS) haavoittuvuus joka korjattiin viime viikolla, jolloin he voivat suorittaa mielivaltaista koodia ja komentoja järjestelmänvalvojan oikeuksin koskevissa järjestelmissä.

Vika, jäljitetty kuten CVE-2024-48788 CVSS:n haavoittuvuuden ja vakavuuden pistemäärällä 9.3/10, se oli yksi kolmesta, jotka Cybersecurity and Infrastructure Security Agency (CISA) lisäsi 25. maaliskuuta Tunnettujen hyödynnettyjen haavoittuvuuksien luettelo, joka pitää kirjaa suojaushaavoittuvuuksista aktiivisen hyväksikäytön aikana. Fortinet, joka varoitti käyttäjiä virheestä sekä korjasi sen aiemmin tässä kuussa, myös päivitti hiljaa sen turvallisuusneuvonta huomioida sen hyväksikäyttö.

Tarkemmin sanottuna vika löytyy FortiClient EMS:stä, FortiClientin keskushallintakonsolin VM-versiosta. Se johtuu an SQL-injektiovirhe palvelimen suoraan liitetyssä tallennuskomponentissa ja sitä kannustaa palvelimen ja siihen liitettyjen päätepisteiden välinen viestintä.

Fortinetin neuvojen mukaan "SQL-komennon … haavoittuvuuden [CWE-89] virheellinen neutralointi FortiClientEMS:ssä voi antaa todentamattoman hyökkääjän suorittaa luvattoman koodin tai komentoja erityisesti muotoilluilla pyynnöillä".

Proof-of-Concept Exploit for CVE-2024-48788

Vian nykyinen hyödyntäminen seuraa julkaisun viime viikolla julkaisemista a proof-of-concept (PoC) hyödyntää koodia sekä analyysiä Horizon.ai:n tutkijat yksityiskohtaisesti kuinka virhettä voidaan hyödyntää.

Horizon.ai:n tutkijat havaitsivat, että virhe piilee siinä, kuinka palvelimen pääpalvelu, joka vastaa viestimisestä rekisteröityneiden päätepisteasiakkaiden kanssa, FcmDaemon.exe, on vuorovaikutuksessa näiden asiakkaiden kanssa. Oletuksena palvelu kuuntelee portista 8013 saapuvia asiakasyhteyksiä, joita tutkijat käyttivät PoC:n kehittämiseen.

Muita palvelimen osia, jotka ovat vuorovaikutuksessa tämän palvelun kanssa, ovat tietojen käyttöpalvelin, FCTDas.exe, joka vastaa useiden muiden palvelinkomponenttien pyyntöjen kääntämisestä SQL-pyynnöiksi, jotta ne ovat vuorovaikutuksessa Microsoft SQL Server -tietokannan kanssa.

Fortinet-virheen hyödyntäminen

Horizon.ai:n tutkijat selvittivät ensin, miltä asiakkaan ja FcmDaemon-palvelun välisen tyypillisen viestinnän pitäisi näyttää, määrittämällä asennusohjelman ja ottamalla käyttöön peruspääteasiakkaan.

"Huomasimme, että normaali viestintä päätepisteasiakkaan ja FcmDaemon.exe-tiedoston välillä on salattu TLS:llä, eikä näyttänyt olevan helppoa tapaa tyhjentää TLS-istuntoavaimia laillisen liikenteen salauksen purkamiseksi", Horizon.ai:n hyväksikäyttökehittäjä James Horseman selitti. postissa.

Sitten ryhmä poimi palvelun lokista yksityiskohtia viestinnästä, mikä antoi tutkijoille tarpeeksi tietoa Python-skriptin kirjoittamiseen FcmDaemonin kanssa kommunikoimiseksi. Jonkin yrityksen ja erehdyksen jälkeen tiimi pystyi tutkimaan viestin muotoa ja mahdollistamaan "merkittävän viestinnän" FcmDaemon-palvelun kanssa SQL-injektion käynnistämiseksi, Horseman kirjoitti.

”Rakennoimme lomakkeesta yksinkertaisen unihyötykuorman ' JA 1 = 0; WAITFOR DELAY "00:00:10" - "", hän selitti viestissä. "Huomasimme 10 sekunnin viiveen vastauksessa ja tiesimme, että olimme käynnistäneet hyväksikäytön."

Horsemanin mukaan tutkijat käyttivät PoC:n luomiseen Microsoft SQL Serverin sisäänrakennettua xp_cmdshell-toimintoa muuttaakseen tämän SQL-injektion haavoittuvuuden RCE-hyökkäykseksi. "Aluksi tietokantaa ei määritetty suorittamaan xp_cmdshell-komentoa; Se oli kuitenkin triviaalisti käytössä muutamien muiden SQL-käskyjen kanssa", hän kirjoitti.

On tärkeää huomata, että PoC vain vahvistaa haavoittuvuuden käyttämällä yksinkertaista SQL-injektiota ilman xp_cmdshell; Jotta hyökkääjä voi ottaa RCE:n käyttöön, PoC:tä on muutettava, Horseman lisäsi.

Kyberhyökkäykset lisääntyvät Fortinetissa; Korjaus nyt

Fortinet-virheet ovat suosittuja kohteita hyökkääjille, kuten Chris Boyd, turvallisuusalan tutkimusinsinööri Tenable varoitti neuvossaan alun perin 14. maaliskuuta julkaistusta puutteesta. Hän mainitsi esimerkkeinä useita muita Fortinet-puutteita – kuten esim. CVE-2023-27997, kriittinen kasaan perustuva puskurin ylivuotohaavoittuvuus useissa Fortinet-tuotteissa, ja CVE-2022-40684, todennuksen ohitusvirhe FortiOS-, FortiProxy- ja FortiSwitch Manager -tekniikoissa – jotka olivat uhkatoimijat käyttävät hyväkseen. Itse asiassa jälkimmäinen bugi myytiin jopa tarkoituksena antaa hyökkääjille ensimmäinen pääsy järjestelmiin.

"Koska hyväksikäyttökoodi on julkaistu ja uhkatoimijat ovat aiemmin käyttäneet väärin Fortinetin puutteita, mukaan lukien kehittyneet pysyvän uhkan (APT) toimijat ja kansallisvaltioryhmiä, suosittelemme tämän haavoittuvuuden korjaamista mahdollisimman pian", Boyd kirjoitti päivityksessä neuvojaan Horizon.ai-julkaisun jälkeen.

Fortinet ja CISA kehottavat myös asiakkaita, jotka eivät käyttäneet mahdollisuutta alkuperäisen neuvonnan ja PoC-hyödyntämisen julkaisun välillä, korjauspalvelimet heti haavoittuvainen tälle uusimmalle puutteelle.

Horizon.ai:n ratsastaja selitti, kuinka ympäristössä voidaan tunnistaa kompromissiindikaattoreita (IoC) auttaakseen organisaatioita tunnistamaan, onko puutetta hyödynnetty. "C:Program Files (x86)FortinetFortiClientEMS-logeissa on useita lokitiedostoja, jotka voidaan tutkia tunnistamattomien asiakkaiden yhteyksien tai muun haitallisen toiminnan varalta", hän kirjoitti. "MS SQL -lokeista voidaan myös tutkia todisteita siitä, että xp_cmdshelliä on käytetty komennon suorittamiseen."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack