Zephyrnet logó

Generatív adatintelligencia

Kiberbiztonság

Javítás most: Kritikus Fortinet RCE hiba aktív támadás alatt

Újra kiadta Platón
Újra kiadta Platón

Találka:

Megtekintések: 98

Mint várható, kibertámadások támadtak kritikus távoli kódvégrehajtáson (RCE) a Fortinet Enterprise Management Server (EMS) biztonsági rése amelyet a múlt héten javítottak, lehetővé téve számukra, hogy tetszőleges kódot és parancsokat hajtsanak végre rendszergazdai jogosultságokkal az érintett rendszereken.

A hiba, nyomon követve CVE-2024 48788- 9.3-ből 10-as CVSS sebezhetőség-súlyossági pontszámmal egyike volt annak a háromnak, amelyet a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) március 25-én hozzáadott Ismert kihasznált biztonsági rések katalógusa, amely nyomon követi az aktív kihasználás alatti biztonsági réseket. Fortinet, amely figyelmeztette a felhasználókat a hibára valamint a hónap elején kijavította, csendesen frissítette is biztonsági tanácsadás megjegyezni annak kihasználását.

Pontosabban, a hiba a FortiClient EMS-ben, a FortiClient központi felügyeleti konzoljának VM-verziójában található. Ebből ered egy SQL injekciós hiba a kiszolgáló közvetlenül csatolt tárolókomponensében, és a kiszolgáló és a hozzá kapcsolódó végpontok közötti kommunikáció ösztönzi.

„Az SQL Command … biztonsági résének [CWE-89] FortiClientEMS-ben használt speciális elemeinek nem megfelelő semlegesítése lehetővé teheti a nem hitelesített támadók számára, hogy jogosulatlan kódot vagy parancsokat hajtsanak végre speciálisan kialakított kéréseken keresztül” – áll a Fortinet tanácsában.

Proof-of-Concept Exploit a CVE-2024-48788

A hiba jelenlegi kihasználása a múlt heti kiadást követi a koncepció bizonyítéka (PoC) exploit kód, valamint egy elemzés által a Horizon.ai kutatói részletezi, hogyan lehet kihasználni a hibát.

A Horizon.ai kutatói felfedezték, hogy a hiba abban rejlik, hogy a szerver fő szolgáltatása, amely a regisztrált végponti kliensekkel kommunikál, az FcmDaemon.exe hogyan működik együtt ezekkel az ügyfelekkel. A szolgáltatás alapértelmezés szerint a 8013-as porton figyeli a bejövő klienskapcsolatokat, amelyet a kutatók a PoC fejlesztéséhez használtak.

A kiszolgáló egyéb összetevői, amelyek együttműködnek ezzel a szolgáltatással, egy adatelérési kiszolgáló, az FCTDas.exe, amely a különféle egyéb kiszolgálóösszetevőktől származó kérések SQL-kérelmekké fordításáért felelős, hogy aztán interakcióba lépjen a Microsoft SQL Server adatbázisával.

A Fortinet hiba kihasználása

A hiba kihasználása érdekében a Horizon.ai kutatói először egy telepítő konfigurálásával és egy alapvető végponti kliens telepítésével állapították meg, hogyan nézzen ki az ügyfél és az FcmDaemon szolgáltatás közötti tipikus kommunikáció.

„Úgy találtuk, hogy a végponti kliens és az FcmDaemon.exe közötti normál kommunikáció TLS-sel titkosított, és úgy tűnt, hogy nincs egyszerű módja a TLS-munkamenetkulcsok kiírásának a legitim forgalom visszafejtésére” – magyarázta James Horseman, a Horizon.ai exploit fejlesztője. a posztban.

A csapat ezután részleteket gyűjtött össze a szolgáltatás naplójából a kommunikációról, amely elegendő információt biztosított a kutatóknak ahhoz, hogy Python-szkriptet írjanak az FcmDaemonnal való kommunikációhoz. Némi próbálkozás és hiba után a csapatnak sikerült megvizsgálnia az üzenetformátumot, és lehetővé tette az „értelmes kommunikációt” az FcmDaemon szolgáltatással, hogy elindítsa az SQL injekciót, írta Horseman.

„Egyszerű alvási rakományt készítettünk az űrlapból ' ÉS 1=0; WAITFOR DELAY '00:00:10' – '” – magyarázta a bejegyzésben. "Észrevettük a válaszadás 10 másodperces késését, és tudtuk, hogy mi váltottuk ki a visszaélést."

Horseman szerint, hogy ezt az SQL-injekciós sebezhetőséget RCE-támadássá alakítsák, a kutatók a Microsoft SQL Server beépített xp_cmdshell funkcióját használták a PoC létrehozásához. „Kezdetben az adatbázis nem volt beállítva az xp_cmdshell parancs futtatására; azonban néhány más SQL-utasítással triviálisan engedélyezve volt” – írta.

Fontos megjegyezni, hogy a PoC csak az xp_cmdshell nélküli egyszerű SQL-befecskendezéssel erősíti meg a sebezhetőséget; ahhoz, hogy a támadó engedélyezze az RCE-t, a PoC-t meg kell változtatni – tette hozzá Horseman.

A kibertámadások felgyorsulnak a Fortineten; Patch Now

A Fortinet hibák népszerű célpontok támadók számára, mint Chris Boyd, a biztonsági cég kutatómérnöke Tenable figyelmeztetett a tanácsában az eredetileg március 14-én közzétett hibáról. Példaként említett számos más Fortinet-hibát – mint pl. CVE-2023-27997, kritikus kupac alapú puffertúlcsordulási sebezhetőség több Fortinet termékben, és CVE-2022-40684, hitelesítési megkerülési hiba a FortiOS, FortiProxy és FortiSwitch Manager technológiákban – amelyek a fenyegetés szereplői kihasználják. Valójában az utóbbi hibát még azzal a céllal is eladták, hogy a támadók kezdeti hozzáférést kapjanak a rendszerekhez.

„Mivel a kizsákmányoló kód megjelent, és a Fortinet hibáival a múltban visszaéltek a fenyegetés szereplői, pl. fejlett tartós fenyegetés (APT) szereplői és nemzetállami csoportok, erősen javasoljuk a sebezhetőség mielőbbi orvoslását” – írta Boyd a Horizon.ai megjelenése utáni tanácsának frissítésében.

A Fortinet és a CISA is arra kéri azokat az ügyfeleket, akik nem használták ki a kezdeti tanácsadás és a PoC exploit kiadása közötti lehetőséget, hogy patch szerverek azonnal sebezhetővé válik ezzel a legújabb hibával szemben.

A Horizon.ai lovasa annak érdekében, hogy segítsen a szervezeteknek azonosítani, hogy a hibát kihasználják-e, a Horizon.ai lovasa elmagyarázta, hogyan lehet azonosítani a kompromisszum indikátorait (IoC) egy környezetben. „A C:Program Files (x86)FortinetFortiClientEMSlogs-ban különféle naplófájlok találhatók, amelyek megvizsgálhatók ismeretlen ügyfelektől származó kapcsolatok vagy más rosszindulatú tevékenységek keresésére” – írta. "Az MS SQL naplóiban az xp_cmdshell parancsvégrehajtásra vonatkozó bizonyítékokat is meg lehet vizsgálni."

spot_img

Legújabb intelligencia

spot_img

Copyright @ 2024 Plato Technologies Inc.