Logo Zephyrnet

Kecerdasan Data Generatif

Keamanan Siber

Patch Sekarang: Bug Fortinet RCE Kritis Dalam Serangan Aktif

Diterbitkan Ulang Oleh Plato
Diterbitkan Ulang Oleh Plato

Tanggal:

views: 98

Seperti yang diharapkan, penyerang siber telah menyerang pada eksekusi kode jarak jauh yang kritis (RCE) kerentanan di Fortinet Enterprise Management Server (EMS) yang telah ditambal minggu lalu, memungkinkan mereka untuk mengeksekusi kode dan perintah arbitrer dengan hak istimewa admin sistem pada sistem yang terpengaruh.

Cacatnya, dilacak sebagai CVE-2024-48788 dengan skor tingkat keparahan kerentanan CVSS sebesar 9.3 dari 10, merupakan salah satu dari tiga skor yang ditambahkan oleh Badan Keamanan Siber dan Infrastruktur (CISA) pada tanggal 25 Maret. Katalog Kerentanan Tereksploitasi yang Dikenal, yang melacak kerentanan keamanan dalam eksploitasi aktif. Fortinet, yang mana memperingatkan pengguna tentang kelemahan tersebut serta menambalnya awal bulan ini, juga diam-diam memperbaruinya penasehat keamanan untuk mencatat eksploitasinya.

Secara khusus, kelemahan ini ditemukan di FortiClient EMS, versi VM dari konsol manajemen pusat FortiClient. Itu berasal dari sebuah Kesalahan injeksi SQL dalam komponen penyimpanan yang terhubung langsung pada server dan dipicu oleh komunikasi antara server dan titik akhir yang terpasang padanya.

“Netralisasi elemen khusus yang tidak tepat yang digunakan dalam Perintah SQL… kerentanan [CWE-89] di FortiClientEMS dapat memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode atau perintah yang tidak sah melalui permintaan yang dibuat secara khusus,” menurut penasehat Fortinet.

Eksploitasi Bukti Konsep untuk CVE-2024-48788

Eksploitasi kelemahan saat ini mengikuti rilis a bukti konsep (PoC) mengeksploitasi kode serta analisis oleh peneliti di Horizon.ai merinci bagaimana kelemahan tersebut dapat dieksploitasi.

Peneliti Horizon.ai menemukan bahwa kelemahannya terletak pada cara layanan utama server yang bertanggung jawab untuk berkomunikasi dengan klien titik akhir terdaftar — FcmDaemon.exe — berinteraksi dengan klien tersebut. Secara default, layanan mendengarkan koneksi klien masuk pada port 8013, yang digunakan peneliti untuk mengembangkan PoC.

Komponen server lain yang berinteraksi dengan layanan ini adalah server akses data, FCTDas.exe, yang bertugas menerjemahkan permintaan dari berbagai komponen server lain menjadi permintaan SQL untuk kemudian berinteraksi dengan database Microsoft SQL Server.

Memanfaatkan Cacat Fortinet

Untuk mengeksploitasi kelemahan ini, peneliti Horizon.ai pertama-tama menentukan seperti apa komunikasi umum antara klien dan layanan FcmDaemon dengan mengonfigurasi penginstal dan menerapkan klien titik akhir dasar.

“Kami menemukan bahwa komunikasi normal antara klien titik akhir dan FcmDaemon.exe dienkripsi dengan TLS, dan tampaknya tidak ada cara mudah untuk membuang kunci sesi TLS untuk mendekripsi lalu lintas yang sah,” pengembang eksploitasi Horizon.ai, James Horseman menjelaskan di pos.

Tim kemudian mengumpulkan rincian dari log layanan tentang komunikasi tersebut, yang memberikan informasi yang cukup kepada para peneliti untuk menulis skrip Python untuk berkomunikasi dengan FcmDaemon. Setelah beberapa kali percobaan dan kesalahan, tim dapat memeriksa format pesan dan mengaktifkan “komunikasi yang bermakna” dengan layanan FcmDaemon untuk memicu injeksi SQL, tulis Horseman.

“Kami membuat formulir muatan tidur sederhana ' DAN 1=0; TUNGGU PENUNDAAN '00:00:10′ — ',” jelasnya dalam postingan tersebut. “Kami menyadari adanya keterlambatan 10 detik dalam respons dan mengetahui bahwa kamilah yang memicu eksploitasi tersebut.”

Untuk mengubah kerentanan injeksi SQL ini menjadi serangan RCE, para peneliti menggunakan fungsionalitas xp_cmdshell bawaan Microsoft SQL Server untuk membuat PoC, menurut Horseman. “Awalnya, database tidak dikonfigurasi untuk menjalankan perintah xp_cmdshell; namun, hal ini dapat diaktifkan dengan beberapa pernyataan SQL lainnya,” tulisnya.

Penting untuk dicatat bahwa PoC hanya mengonfirmasi kerentanan dengan menggunakan injeksi SQL sederhana tanpa xp_cmdshell; agar penyerang dapat mengaktifkan RCE, PoC harus diubah, Horseman menambahkan.

Serangan Siber Meningkat di Fortinet; Tambal Sekarang

Bug Fortinet adalah target populer untuk penyerang, seperti Chris Boyd, staf insinyur riset di perusahaan keamanan Tenable memperingatkan dalam penasehatnya tentang kelemahan yang pertama kali diterbitkan pada 14 Maret. Dia mengutip beberapa kelemahan Fortinet lainnya sebagai contoh — seperti CVE-2023-27997, kerentanan buffer overflow berbasis heap yang kritis di beberapa produk Fortinet, dan CVE-2022-40684, kelemahan bypass otentikasi pada teknologi FortiOS, FortiProxy, dan FortiSwitch Manager — yaitu dieksploitasi oleh aktor ancaman. Faktanya, bug terakhir bahkan dijual dengan tujuan memberikan penyerang akses awal ke sistem.

“Karena kode eksploitasi telah dirilis dan penyalahgunaan kelemahan Fortinet di masa lalu oleh pelaku ancaman, termasuk aktor ancaman persisten tingkat lanjut (APT). dan kelompok negara-bangsa, kami sangat menyarankan untuk memperbaiki kerentanan ini sesegera mungkin,” tulis Boyd dalam pembaruan nasihatnya setelah rilis Horizon.ai.

Fortinet dan CISA juga mendesak klien yang tidak menggunakan jendela peluang antara konsultasi awal dan rilis eksploitasi PoC untuk server tambalan rentan terhadap kelemahan terbaru ini dengan segera.

Untuk membantu organisasi mengidentifikasi apakah kelemahan tersebut sedang dieksploitasi, Horseman dari Horizon.ai menjelaskan cara mengidentifikasi indikator kompromi (IoC) dalam suatu lingkungan. “Ada berbagai file log di C:Program Files (x86)FortinetFortiClientEMSlogs yang dapat diperiksa untuk koneksi dari klien yang tidak dikenal atau aktivitas jahat lainnya,” tulisnya. “Log MS SQL juga dapat diperiksa untuk mengetahui bukti xp_cmdshell digunakan untuk mendapatkan eksekusi perintah.”

tempat_img

Intelijen Terbaru

tempat_img

Hak Cipta @ 2024 Plato Technologies Inc.