जैसा सोचा था, साइबर हमलावरों ने धावा बोल दिया है क्रिटिकल रिमोट कोड निष्पादन (आरसीई) पर फोर्टिनेट एंटरप्राइज मैनेजमेंट सर्वर (ईएमएस) में भेद्यता इसे पिछले सप्ताह पैच किया गया था, जिससे उन्हें प्रभावित सिस्टम पर सिस्टम एडमिन विशेषाधिकारों के साथ मनमाना कोड और कमांड निष्पादित करने की अनुमति मिली।
दोष, के रूप में ट्रैक किया गया CVE-2024-48788 9.3 सीवीएसएस भेद्यता-गंभीरता स्कोर में से 10 के साथ, यह उन तीन में से एक था जिसे साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) ने 25 मार्च को अपने में जोड़ा था। ज्ञात शोषित भेद्यता सूची, जो सक्रिय शोषण के तहत सुरक्षा कमजोरियों पर नज़र रखता है। फोर्टिनेट, जो उपयोगकर्ताओं को दोष के बारे में चेतावनी दी साथ ही इस महीने की शुरुआत में इसे पैच किया और चुपचाप इसे अपडेट भी किया सुरक्षा सलाहकार इसके शोषण पर ध्यान दें।
विशेष रूप से, दोष FortiClient EMS, FortiClient के केंद्रीय प्रबंधन कंसोल के VM संस्करण में पाया गया है। यह एक से उत्पन्न होता है एसक्यूएल इंजेक्शन त्रुटि सर्वर के प्रत्यक्ष-संलग्न भंडारण घटक में और सर्वर और उससे जुड़े समापन बिंदुओं के बीच संचार द्वारा प्रेरित होता है।
फोर्टिनेट की सलाह के अनुसार, "SQL कमांड में उपयोग किए गए विशेष तत्वों का अनुचित निष्प्रभावीकरण ... FortiClientEMS में भेद्यता [CWE-89] एक अप्रमाणित हमलावर को विशेष रूप से तैयार किए गए अनुरोधों के माध्यम से अनधिकृत कोड या कमांड निष्पादित करने की अनुमति दे सकता है।"
सीवीई-2024-48788 के लिए अवधारणा शोषण का प्रमाण
दोष का वर्तमान शोषण पिछले सप्ताह जारी होने के बाद हुआ है प्रूफ ऑफ कॉन्सेप्ट (पीओसी) शोषण कोड के साथ-साथ एक विश्लेषण भी Horizon.ai के शोधकर्ता यह बताते हुए कि दोष का फायदा कैसे उठाया जा सकता है।
Horizon.ai शोधकर्ताओं ने पता लगाया कि दोष यह है कि नामांकित एंडपॉइंट क्लाइंट के साथ संचार करने के लिए जिम्मेदार सर्वर की मुख्य सेवा - FcmDaemon.exe - उन क्लाइंट के साथ कैसे इंटरैक्ट करती है। डिफ़ॉल्ट रूप से, सेवा आने वाले क्लाइंट कनेक्शन के लिए पोर्ट 8013 पर सुनती है, जिसका उपयोग शोधकर्ताओं ने पीओसी विकसित करने के लिए किया था।
सर्वर के अन्य घटक जो इस सेवा के साथ इंटरैक्ट करते हैं, एक डेटा एक्सेस सर्वर, FCTDas.exe है, जो विभिन्न अन्य सर्वर घटकों से अनुरोधों को SQL अनुरोधों में अनुवाद करने के लिए जिम्मेदार है और फिर Microsoft SQL सर्वर डेटाबेस के साथ इंटरैक्ट करता है।
फोर्टिनेट दोष का शोषण
दोष का फायदा उठाने के लिए, Horizon.ai शोधकर्ताओं ने सबसे पहले एक इंस्टॉलर को कॉन्फ़िगर करके और एक बुनियादी एंडपॉइंट क्लाइंट को तैनात करके स्थापित किया कि क्लाइंट और FcmDaemon सेवा के बीच विशिष्ट संचार कैसा दिखना चाहिए।
"हमने पाया कि एंडपॉइंट क्लाइंट और FcmDaemon.exe के बीच सामान्य संचार TLS के साथ एन्क्रिप्टेड होते हैं, और वैध ट्रैफ़िक को डिक्रिप्ट करने के लिए TLS सत्र कुंजियों को डंप करने का कोई आसान तरीका नहीं दिखता है," Horizon.ai एक्सप्लॉइट डेवलपर जेम्स हॉर्समैन ने समझाया पोस्ट में।
इसके बाद टीम ने संचार के बारे में सेवा के लॉग से विवरण प्राप्त किया, जिससे शोधकर्ताओं को FcmDaemon के साथ संचार करने के लिए पायथन स्क्रिप्ट लिखने के लिए पर्याप्त जानकारी प्रदान की गई। हॉर्समैन ने लिखा, कुछ परीक्षण और त्रुटि के बाद, टीम संदेश प्रारूप की जांच करने और SQL इंजेक्शन को ट्रिगर करने के लिए FcmDaemon सेवा के साथ "सार्थक संचार" सक्षम करने में सक्षम थी।
“हमने फॉर्म का एक सरल स्लीप पेलोड बनाया है ' तथा 1=0; देरी के लिए प्रतीक्षा करें '00:00:10′ - ','' उन्होंने पोस्ट में बताया। "हमने प्रतिक्रिया में 10 सेकंड की देरी देखी और हमें पता चला कि हमने ही शोषण शुरू किया है।"
हॉर्समैन के अनुसार, इस SQL इंजेक्शन भेद्यता को RCE हमले में बदलने के लिए, शोधकर्ताओं ने PoC बनाने के लिए Microsoft SQL सर्वर की अंतर्निहित xp_cmdshell कार्यक्षमता का उपयोग किया। “प्रारंभ में, डेटाबेस को xp_cmdshell कमांड चलाने के लिए कॉन्फ़िगर नहीं किया गया था; हालाँकि, इसे कुछ अन्य SQL कथनों के साथ तुच्छ रूप से सक्षम किया गया था," उन्होंने लिखा।
यह ध्यान रखना महत्वपूर्ण है कि PoC केवल xp_cmdshell के बिना एक साधारण SQL इंजेक्शन का उपयोग करके भेद्यता की पुष्टि करता है; हॉर्समैन ने कहा कि एक हमलावर के लिए आरसीई को सक्षम करने के लिए, पीओसी को बदला जाना चाहिए।
फोर्टिनेट पर साइबर हमले बढ़े; अभी पैच करें
फोर्टिनेट बग लोकप्रिय लक्ष्य हैं हमलावरों के लिए, क्रिस बॉयड के रूप में, सुरक्षा फर्म में स्टाफ रिसर्च इंजीनियर टेनेबल ने अपनी एडवाइजरी में चेतावनी दी है दोष के बारे में मूल रूप से 14 मार्च को प्रकाशित किया गया था। उन्होंने उदाहरण के तौर पर फोर्टिनेट की कई अन्य खामियों का हवाला दिया - जैसे CVE-2023-27997, एकाधिक फोर्टिनेट उत्पादों में एक महत्वपूर्ण ढेर-आधारित बफर अतिप्रवाह भेद्यता, और CVE-2022-40684, FortiOS, FortiProxy, और FortiSwitch प्रबंधक प्रौद्योगिकियों में प्रमाणीकरण बाईपास दोष - जो थे धमकी देने वाले अभिनेताओं द्वारा शोषण किया गया. वास्तव में, बाद वाला बग हमलावरों को सिस्टम तक प्रारंभिक पहुंच प्रदान करने के उद्देश्य से भी बेचा गया था।
“जैसा कि शोषण कोड जारी किया गया है और धमकी देने वाले अभिनेताओं द्वारा फोर्टिनेट की खामियों का अतीत में दुरुपयोग किया गया है उन्नत लगातार खतरा (एपीटी) अभिनेता और राष्ट्र-राज्य समूहों, हम इस भेद्यता को जल्द से जल्द दूर करने की अत्यधिक अनुशंसा करते हैं,'' बॉयड ने Horizon.ai रिलीज़ के बाद अपनी सलाह के अपडेट में लिखा।
फोर्टिनेट और सीआईएसए उन ग्राहकों से भी आग्रह कर रहे हैं जिन्होंने प्रारंभिक सलाह और पीओसी की रिहाई के बीच अवसर की खिड़की का उपयोग नहीं किया है। पैच सर्वर इस नवीनतम दोष के प्रति तुरंत संवेदनशील।
संगठनों को यह पहचानने में मदद करने के लिए कि क्या खामी का शोषण किया जा रहा है, Horizon.ai के हॉर्समैन ने समझाया कि किसी वातावरण में समझौते के संकेतक (IoCs) की पहचान कैसे करें। उन्होंने लिखा, "C:प्रोग्राम फाइल्स (x86)FortinetFortiClientEMSlogs में विभिन्न लॉग फाइलें हैं जिनकी गैर-मान्यता प्राप्त क्लाइंट या अन्य दुर्भावनापूर्ण गतिविधि से कनेक्शन के लिए जांच की जा सकती है।" "कमांड निष्पादन प्राप्त करने के लिए xp_cmdshell के उपयोग के साक्ष्य के लिए MS SQL लॉग की भी जांच की जा सकती है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
