Come previsto, gli aggressori informatici si sono avventati su un'esecuzione critica di codice remoto (RCE) vulnerabilità nel Fortinet Enterprise Management Server (EMS) a cui è stata applicata una patch la scorsa settimana, consentendo loro di eseguire codice e comandi arbitrari con privilegi di amministratore di sistema sui sistemi interessati.
Il difetto, rintracciato come CVE-2024-48788 con un punteggio di gravità della vulnerabilità CVSS di 9.3 su 10, è stato uno dei tre che la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto il 25 marzo al suo Catalogo delle vulnerabilità sfruttate note, che tiene traccia delle vulnerabilità della sicurezza in caso di exploit attivi. Fortinet, che ha avvisato gli utenti del difetto oltre ad averlo patchato all'inizio di questo mese, ha anche aggiornato silenziosamente il suo consulenza sulla sicurezza notare il suo sfruttamento.
Nello specifico, la falla si trova in FortiClient EMS, la versione VM della console di gestione centrale di FortiClient. Deriva da un Errore di iniezione SQL in un componente di archiviazione collegato direttamente al server ed è stimolato dalle comunicazioni tra il server e gli endpoint ad esso collegati.
"Una neutralizzazione impropria di elementi speciali utilizzati in una vulnerabilità del comando SQL... [CWE-89] in FortiClientEMS può consentire a un utente malintenzionato non autenticato di eseguire codice o comandi non autorizzati tramite richieste appositamente predisposte", secondo l'avviso di Fortinet.
Exploit Proof-of-Concept per CVE-2024-48788
L'attuale sfruttamento della falla fa seguito al rilascio, la scorsa settimana, di a prova di concetto (PoC) codice exploit e un'analisi di ricercatori di Horizon.ai dettagliando come il difetto può essere sfruttato.
I ricercatori di Horizon.ai hanno scoperto che il difetto risiede nel modo in cui il servizio principale del server responsabile della comunicazione con i client endpoint registrati, FcmDaemon.exe, interagisce con tali client. Per impostazione predefinita, il servizio ascolta sulla porta 8013 le connessioni client in entrata, che i ricercatori hanno utilizzato per sviluppare il PoC.
Altri componenti del server che interagiscono con questo servizio sono un server di accesso ai dati, FCTDas.exe, che è responsabile della traduzione delle richieste di vari altri componenti del server in richieste SQL per poi interagire con il database Microsoft SQL Server.
Sfruttare il difetto Fortinet
Per sfruttare il difetto, i ricercatori di Horizon.ai hanno innanzitutto stabilito come dovrebbero essere le comunicazioni tipiche tra un client e il servizio FcmDaemon configurando un programma di installazione e distribuendo un client endpoint di base.
"Abbiamo scoperto che le normali comunicazioni tra un client endpoint e FcmDaemon.exe sono crittografate con TLS e non sembrava esserci un modo semplice per scaricare le chiavi di sessione TLS per decrittografare il traffico legittimo", ha spiegato lo sviluppatore di exploit Horizon.ai James Horseman nella posta.
Il team ha quindi raccolto dettagli dal registro del servizio sulle comunicazioni, che hanno fornito ai ricercatori informazioni sufficienti per scrivere uno script Python per comunicare con FcmDaemon. Dopo alcuni tentativi ed errori, il team è stato in grado di esaminare il formato del messaggio e abilitare una “comunicazione significativa” con il servizio FcmDaemon per attivare un’iniezione SQL, ha scritto Horseman.
“Abbiamo costruito un semplice payload del modulo per il sonno ' E 1=0; ATTESA RITARDO '00:00:10′ — '”, ha spiegato nel post. "Abbiamo notato il ritardo di 10 secondi nella risposta e sapevamo di aver attivato l'exploit."
Per trasformare questa vulnerabilità SQL injection in un attacco RCE, i ricercatori hanno utilizzato la funzionalità xp_cmdshell integrata di Microsoft SQL Server per creare il PoC, secondo Horseman. “Inizialmente, il database non era configurato per eseguire il comando xp_cmdshell; tuttavia, è stato banalmente abilitato con alcune altre istruzioni SQL", ha scritto.
È importante notare che il PoC conferma la vulnerabilità solo utilizzando una semplice SQL injection senza xp_cmdshell; affinché un utente malintenzionato possa abilitare RCE, il PoC deve essere modificato, ha aggiunto Horseman.
Gli attacchi informatici aumentano su Fortinet; Patch adesso
I bug Fortinet sono obiettivi popolari per gli aggressori, come Chris Boyd, ingegnere ricercatore presso un'azienda di sicurezza Tenable ha avvertito nel suo consulto sul difetto originariamente pubblicato il 14 marzo. Ha citato come esempi diversi altri difetti di Fortinet, come ad esempio CVE-2023-27997, una vulnerabilità critica di buffer overflow basata su heap in più prodotti Fortinet e CVE-2022-40684, un difetto di bypass dell'autenticazione nelle tecnologie FortiOS, FortiProxy e FortiSwitch Manager: quello era sfruttati dagli attori delle minacce. In effetti, quest’ultimo bug è stato addirittura venduto allo scopo di fornire agli aggressori l’accesso iniziale ai sistemi.
“Con il rilascio del codice exploit e con il passato abuso delle falle di Fortinet da parte di autori di minacce, tra cui attori APT (Advanced Persistent Threat). e gruppi di stati-nazione, consigliamo vivamente di porre rimedio a questa vulnerabilità il prima possibile", ha scritto Boyd in un aggiornamento del suo avviso dopo il rilascio di Horizon.ai.
Fortinet e CISA stanno inoltre esortando i clienti che non hanno utilizzato la finestra di opportunità tra l'avviso iniziale e il rilascio dell'exploit PoC a server di patch immediatamente vulnerabile a quest'ultimo difetto.
Per aiutare le organizzazioni a identificare se la falla è sotto sfruttamento, Horseman di Horizon.ai ha spiegato come identificare gli indicatori di compromissione (IoC) in un ambiente. "Esistono vari file di registro in C:Program Files (x86)FortinetFortiClientEMSlogs che possono essere esaminati per rilevare connessioni da client non riconosciuti o altre attività dannose", ha scritto. "I log di MS SQL possono anche essere esaminati per verificare l'utilizzo di xp_cmdshell per ottenere l'esecuzione dei comandi."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
