Patch maintenant : bug critique Fortinet RCE sous attaque active

Comme prévu, les cyberattaquants ont bondi sur une exécution de code à distance critique (RCE) vulnérabilité dans Fortinet Enterprise Management Server (EMS) qui a été corrigé la semaine dernière, leur permettant d'exécuter du code et des commandes arbitraires avec des privilèges d'administrateur système sur les systèmes concernés.

Le défaut, suivi comme CVE-2024-48788 avec un score de gravité de vulnérabilité CVSS de 9.3 sur 10, était l'un des trois que l'Agence de cybersécurité et de sécurité des infrastructures (CISA) a ajouté le 25 mars à son Catalogue des vulnérabilités exploitées connues, qui assure le suivi des vulnérabilités de sécurité en cours d'exploitation active. Fortinet, qui a prévenu les utilisateurs de la faille en plus de l'avoir corrigé plus tôt ce mois-ci, il a également discrètement mis à jour son avis de sécurité constater son exploitation.

Plus précisément, la faille se trouve dans FortiClient EMS, la version VM de la console de gestion centrale de FortiClient. Cela découle d'un Erreur d'injection SQL dans un composant de stockage à connexion directe du serveur et est stimulé par les communications entre le serveur et les points finaux qui y sont connectés.

"Une neutralisation inappropriée des éléments spéciaux utilisés dans une vulnérabilité de commande SQL [CWE-89] dans FortiClientEMS peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes spécialement conçues", selon l'avis de Fortinet.

Exploit de preuve de concept pour CVE-2024-48788

L'exploitation actuelle de la faille fait suite à la sortie la semaine dernière d'un preuve de concept (PoC) exploiter le code ainsi qu'une analyse par chercheurs chez Horizon.ai détaillant comment la faille peut être exploitée.

Les chercheurs d'Horizon.ai ont découvert que la faille réside dans la façon dont le principal service du serveur chargé de communiquer avec les clients de point de terminaison inscrits – FcmDaemon.exe – interagit avec ces clients. Par défaut, le service écoute sur le port 8013 les connexions client entrantes, que les chercheurs ont utilisées pour développer le PoC.

Les autres composants du serveur qui interagissent avec ce service sont un serveur d'accès aux données, FCTDas.exe, qui est chargé de traduire les requêtes de divers autres composants du serveur en requêtes SQL pour ensuite interagir avec la base de données Microsoft SQL Server.

Exploiter la faille Fortinet

Pour exploiter la faille, les chercheurs d'Horizon.ai ont d'abord établi à quoi devraient ressembler les communications typiques entre un client et le service FcmDaemon en configurant un programme d'installation et en déployant un client de point de terminaison de base.

"Nous avons constaté que les communications normales entre un client de point de terminaison et FcmDaemon.exe sont cryptées avec TLS, et il ne semble pas y avoir de moyen simple de vider les clés de session TLS pour déchiffrer le trafic légitime", a expliqué James Horseman, développeur d'exploits d'Horizon.ai. dans la poste.

L'équipe a ensuite glané des détails dans le journal du service sur les communications, ce qui a fourni aux chercheurs suffisamment d'informations pour écrire un script Python permettant de communiquer avec FcmDaemon. Après quelques essais et erreurs, l'équipe a pu examiner le format du message et permettre une « communication significative » avec le service FcmDaemon pour déclencher une injection SQL, a écrit Horseman.

«Nous avons construit une charge utile de sommeil simple de la forme ' ET 1=0; WAITFOR DELAY '00:00:10′ — ' », a-t-il expliqué dans le message. "Nous avons remarqué un délai de réponse de 10 secondes et savions que nous avions déclenché l'exploit."

Pour transformer cette vulnérabilité d'injection SQL en attaque RCE, les chercheurs ont utilisé la fonctionnalité xp_cmdshell intégrée de Microsoft SQL Server pour créer le PoC, selon Horseman. « Initialement, la base de données n'était pas configurée pour exécuter la commande xp_cmdshell ; cependant, il a été activé de manière triviale avec quelques autres instructions SQL », a-t-il écrit.

Il est important de noter que le PoC ne confirme la vulnérabilité qu'en utilisant une simple injection SQL sans xp_cmdshell ; pour qu'un attaquant active le RCE, le PoC doit être modifié, a ajouté Horseman.

Les cyberattaques s'intensifient sur Fortinet ; Patcher maintenant

Les bugs de Fortinet sont des cibles populaires pour les attaquants, comme Chris Boyd, ingénieur de recherche dans une société de sécurité Tenable prévenu dans son avis à propos de la faille initialement publiée le 14 mars. Il a cité comme exemples plusieurs autres failles de Fortinet, telles que CVE-2023-27997, une vulnérabilité critique de débordement de tampon basée sur le tas dans plusieurs produits Fortinet, et CVE-2022-40684, une faille de contournement d'authentification dans les technologies FortiOS, FortiProxy et FortiSwitch Manager — qui étaient exploité par des acteurs malveillants. En fait, ce dernier bug a même été vendu dans le but de donner aux attaquants un premier accès aux systèmes.

« À mesure que le code d'exploitation a été publié et que les failles de Fortinet ont été exploitées par des acteurs malveillants, notamment Acteurs de menaces persistantes avancées (APT) et les groupes d'États-nations, nous recommandons fortement de remédier à cette vulnérabilité dès que possible », a écrit Boyd dans une mise à jour de son avis après la publication d'Horizon.ai.

Fortinet et la CISA exhortent également les clients qui n'ont pas profité de la fenêtre d'opportunité entre l'avis initial et la publication de l'exploit PoC à serveurs de correctifs vulnérable à cette dernière faille immédiatement.

Pour aider les organisations à identifier si la faille est sous-exploitée, Horseman d'Horizon.ai a expliqué comment identifier les indicateurs de compromission (IoC) dans un environnement. "Il existe divers fichiers journaux dans C:Program Files (x86)FortinetFortiClientEMSlogs qui peuvent être examinés pour détecter les connexions de clients non reconnus ou d'autres activités malveillantes", a-t-il écrit. "Les journaux MS SQL peuvent également être examinés pour rechercher des preuves de l'utilisation de xp_cmdshell pour obtenir l'exécution de commandes."

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
La source: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack

Intelligence de données générative

Patch maintenant : bug critique de Fortinet RCE sous attaque active

Exploit de preuve de concept pour CVE-2024-48788

Exploiter la faille Fortinet

Les cyberattaques s'intensifient sur Fortinet ; Patcher maintenant

Drake menacé de poursuites pour les voix de Tupac AI

NFT Trump Bitcoin exclusifs avec ordinaux personnalisés pour les acheteurs de « Mugshot Edition » – CryptoInfoNet

Dernières informations

Une entreprise propose une formation en littératie financière numérique aux Nigérians – CryptoInfoNet

BDAG en tête du top 5 des préventes de crypto prometteuses de 2024

Comment évaluer le sentiment du marché avant d'acheter une crypto-monnaie

Liquidité et période d'acquisition de 100 millions de dollars de BlockDAG au milieu des problèmes de réseau SOL et des prévisions de prix DOT

Casinos Rainbet et Crypto : leaders du peloton

Forbes classe XRP, ADA, LTC, ETC parmi les meilleurs jetons « zombies »