כצפוי, תוקפי סייבר התנפלו על ביצוע קוד קריטי מרחוק (RCE) פגיעות בשרת הניהול הארגוני של Fortinet (EMS) שתוקן בשבוע שעבר, ומאפשר להם לבצע קוד שרירותי ופקודות עם הרשאות מנהל מערכת במערכות מושפעות.
הפגם, במעקב כמו CVE-2024-48788 עם ציון 9.3 מתוך 10 חומרת פגיעות CVSS, היה אחד משלושה שסוכנות אבטחת הסייבר ותשתיות (CISA) הוסיפה ב-25 במרץ קטלוג פגיעויות מנוצלות ידועות, שעוקבת אחר פרצות אבטחה תחת ניצול אקטיבי. פורטינט, אשר הזהיר את המשתמשים מהפגם כמו גם תיקון אותו מוקדם יותר החודש, גם עדכן אותו בשקט הייעוץ הביטחוני לציין את הניצול שלו.
באופן ספציפי, הפגם נמצא ב-FortiClient EMS, גרסת ה-VM של מסוף הניהול המרכזי של FortiClient. זה נובע מ- an שגיאת הזרקת SQL ברכיב אחסון מחובר ישיר של השרת והוא מדרבן על ידי תקשורת בין השרת ונקודות הקצה המחוברות אליו.
"נטרול לא תקין של אלמנטים מיוחדים המשמשים בפגיעות SQL Command … [CWE-89] ב-FortiClientEMS עלול לאפשר לתוקף לא מאומת לבצע קוד או פקודות לא מורשים באמצעות בקשות בעלות מבנה ספציפי", על פי הייעוץ של Fortinet.
ניצול הוכחת קונספט עבור CVE-2024-48788
הניצול הנוכחי של הפגם בא בעקבות שחרורו בשבוע שעבר של א הוכחת מושג (PoC) ניצול קוד וכן ניתוח על ידי חוקרים ב- Horizon.ai המפרט כיצד ניתן לנצל את הפגם.
חוקרי Horizon.ai גילו שהפגם טמון באופן שבו השירות העיקרי של השרת האחראי לתקשורת עם לקוחות נקודת קצה רשומים - FcmDaemon.exe - מקיים אינטראקציה עם אותם לקוחות. כברירת מחדל, השירות מאזין ביציאה 8013 לחיבורי לקוח נכנסים, שבהם השתמשו החוקרים לפיתוח ה-PoC.
רכיבים נוספים של השרת המקיימים אינטראקציה עם שירות זה הם שרת גישה לנתונים, FCTDas.exe, שאחראי על תרגום בקשות ממרכיבי שרת שונים אחרים לבקשות SQL כדי ליצור אינטראקציה עם מסד הנתונים של Microsoft SQL Server.
ניצול פגם פורטינט
כדי לנצל את הפגם, חוקרי Horizon.ai קבעו לראשונה כיצד צריכה להיראות תקשורת טיפוסית בין לקוח לשירות FcmDaemon על ידי הגדרת מתקין ופריסה של לקוח נקודת קצה בסיסי.
"מצאנו שתקשורת רגילה בין לקוח נקודת קצה ל-FcmDaemon.exe מוצפנת עם TLS, ונראה שלא הייתה דרך קלה לזרוק מפתחות הפעלה של TLS כדי לפענח את התעבורה הלגיטימית", הסביר מפתח הניצול של Horizon.ai, ג'יימס הורסמן בפוסט.
לאחר מכן, הצוות שלף פרטים מהיומן של השירות על התקשורת, שסיפק לחוקרים מספיק מידע כדי לכתוב סקריפט Python כדי לתקשר עם FcmDaemon. לאחר ניסוי וטעייה, הצוות הצליח לבחון את פורמט ההודעה ולאפשר "תקשורת משמעותית" עם שירות FcmDaemon כדי להפעיל הזרקת SQL, כתב הורסמן.
"בנינו מטען שינה פשוט של הטופס ' ו-1=0; WAITFOR DELAY '00:00:10′ — '," הוא הסביר בפוסט. "שמנו לב לעיכוב של 10 שניות בתגובה וידענו שהפעלנו את הניצול".
כדי להפוך את הפגיעות הזו של הזרקת SQL למתקפת RCE, החוקרים השתמשו בפונקציונליות ה-xp_cmdshell המובנית של Microsoft SQL Server כדי ליצור את ה-PoC, לפי Horseman. "בתחילה, מסד הנתונים לא הוגדר להריץ את הפקודה xp_cmdshell; עם זאת, זה התאפשר באופן טריוויאלי עם כמה הצהרות SQL אחרות", כתב.
חשוב לציין שה-PoC מאשר את הפגיעות רק באמצעות הזרקת SQL פשוטה ללא xp_cmdshell; כדי שתוקף יאפשר RCE, יש לשנות את ה-PoC, הוסיף Horseman.
מתקפות סייבר מתגברות בפורטינט; תיקון עכשיו
באגי Fortinet הם יעדים פופולריים לתוקפים, כמו כריס בויד, מהנדס מחקר בחברת אבטחה טנבל הזהיר בייעוץ שלו על הפגם שפורסם במקור ב-14 במרץ. הוא הביא כדוגמאות מספר פגמים נוספים בפורטינט - כגון CVE-2023-27997, פגיעות של גלישת חיץ קריטית מבוססת ערמה במוצרי Fortinet מרובים, ו CVE-2022-40684, פגם מעקף אימות בטכנולוגיות FortiOS, FortiProxy ו-FortiSwitch Manager - שהיו מנוצל על ידי גורמי איומים. למעשה, הבאג האחרון אף נמכר במטרה לתת לתוקפים גישה ראשונית למערכות.
"כאשר קוד ניצול שוחרר ועם ניצול לרעה בעבר של פגמי Fortinet על ידי גורמי איומים, כולל שחקנים מתקדמים לאיום מתמשך (APT). וקבוצות של מדינות לאום, אנו ממליצים בחום לתקן את הפגיעות הזו בהקדם האפשרי", כתב בויד בעדכון לייעוץ שלו לאחר השחרור של Horizon.ai.
פורטינט וה-CISA גם דוחקות בלקוחות שלא ניצלו את חלון ההזדמנויות שבין הייעוץ הראשוני לשחרור ה-PoC exploit שרתי תיקון פגיעים לפגם האחרון הזה באופן מיידי.
כדי לעזור לארגונים לזהות אם הפגם נמצא תחת ניצול, הורסת Horizon.ai הסביר כיצד לזהות אינדיקטורים של פשרה (IoCs) בסביבה. "ישנם קובצי יומן שונים ב-C:Program Files (x86)FortinetFortiClientEMSlogs שניתן לבחון עבור חיבורים מלקוחות לא מזוהים או פעילות זדונית אחרת", כתב. "ניתן גם לבחון את יומני MS SQL לאיתור עדות לשימוש ב-xp_cmdshell כדי להשיג ביצוע פקודה."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
