ដូចរំពឹងទុក, អ្នកវាយប្រហារតាមអ៊ីនធឺណិតបានវាយលុក នៅលើការប្រតិបត្តិលេខកូដពីចម្ងាយដ៏សំខាន់ (RCE) ភាពងាយរងគ្រោះនៅក្នុង Fortinet Enterprise Management Server (EMS) ដែលត្រូវបានជួសជុលកាលពីសប្តាហ៍មុន ដែលអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិកូដបំពាន និងពាក្យបញ្ជាដែលមានសិទ្ធិគ្រប់គ្រងប្រព័ន្ធនៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់។
គុណវិបត្តិ, តាមដានជា CVE-2024-48788 ជាមួយនឹងពិន្ទុ 9.3 ក្នុងចំណោម 10 ពិន្ទុនៃភាពងាយរងគ្រោះ CVSS គឺជាមួយក្នុងចំណោមបីដែលទីភ្នាក់ងារសន្តិសុខអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធ (CISA) កាលពីថ្ងៃទី 25 ខែមីនាបានបន្ថែមទៅរបស់ខ្លួន។ កាតាឡុកភាពងាយរងគ្រោះដែលគេកេងប្រវ័ញ្ចដែលគេស្គាល់ដែលតាមដានភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពក្រោមការកេងប្រវ័ញ្ចសកម្ម។ Fortinet, ដែល បានព្រមានអ្នកប្រើប្រាស់អំពីកំហុស ក៏ដូចជា patched វានៅដើមខែនេះ, ក៏បានធ្វើបច្ចុប្បន្នភាពរបស់វាស្ងាត់ ប្រឹក្សាយោបល់អំពីសន្តិសុខ ដើម្បីកត់សម្គាល់ការកេងប្រវ័ញ្ចរបស់វា។
ជាពិសេស កំហុសត្រូវបានរកឃើញនៅក្នុង FortiClient EMS ដែលជាកំណែ VM នៃកុងសូលគ្រប់គ្រងកណ្តាលរបស់ FortiClient ។ វាកើតចេញពី អ កំហុសក្នុងការចាក់ SQL នៅក្នុងសមាសធាតុផ្ទុកដែលភ្ជាប់ដោយផ្ទាល់នៃម៉ាស៊ីនមេ ហើយត្រូវបានជំរុញដោយការទំនាក់ទំនងរវាងម៉ាស៊ីនមេ និងចំណុចបញ្ចប់ដែលភ្ជាប់ជាមួយវា។
"ការធ្វើអព្យាក្រឹតភាពមិនត្រឹមត្រូវនៃធាតុពិសេសដែលប្រើក្នុង SQL Command … ភាពងាយរងគ្រោះ [CWE-89] នៅក្នុង FortiClientEMS អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនមានការផ្ទៀងផ្ទាត់អាចប្រតិបត្តិកូដ ឬពាក្យបញ្ជាដែលមិនមានការអនុញ្ញាតតាមរយៈសំណើដែលបានបង្កើតជាពិសេស" នេះបើយោងតាមការណែនាំរបស់ Fortinet ។
Proof-of-Concept Exploit សម្រាប់ CVE-2024-48788
ការកេងប្រវ័ញ្ចនៃកំហុសនាពេលបច្ចុប្បន្ននេះ បន្ទាប់ពីការចេញផ្សាយកាលពីសប្តាហ៍មុននៃ ក ភស្តុតាងនៃគំនិត (PoC) exploit code ក៏ដូចជាការវិភាគដោយ អ្នកស្រាវជ្រាវនៅ Horizon.ai លម្អិតអំពីរបៀបដែលកំហុសអាចត្រូវបានកេងប្រវ័ញ្ច។
អ្នកស្រាវជ្រាវ Horizon.ai បានរកឃើញថា កំហុសស្ថិតនៅក្នុងរបៀបដែលសេវាចម្បងរបស់ server ដែលទទួលខុសត្រូវក្នុងការទំនាក់ទំនងជាមួយអតិថិជន endpoint ដែលបានចុះឈ្មោះ — FcmDaemon.exe — ធ្វើអន្តរកម្មជាមួយអតិថិជនទាំងនោះ។ តាមលំនាំដើម សេវាកម្មស្តាប់នៅលើច្រក 8013 សម្រាប់ការតភ្ជាប់ម៉ាស៊ីនភ្ញៀវចូល ដែលអ្នកស្រាវជ្រាវបានប្រើដើម្បីបង្កើត PoC ។
សមាសធាតុផ្សេងទៀតនៃម៉ាស៊ីនមេដែលមានអន្តរកម្មជាមួយសេវាកម្មនេះគឺជាម៉ាស៊ីនមេចូលប្រើទិន្នន័យ FCTDas.exe ដែលទទួលខុសត្រូវក្នុងការបកប្រែសំណើពីសមាសធាតុម៉ាស៊ីនមេផ្សេងៗទៅក្នុងសំណើ SQL ដើម្បីបន្ទាប់មកធ្វើអន្តរកម្មជាមួយមូលដ្ឋានទិន្នន័យ Microsoft SQL Server ។
ការទាញយកកំហុស Fortinet
ដើម្បីទាញយកប្រយោជន៍ពីកំហុស អ្នកស្រាវជ្រាវ Horizon.ai បានបង្កើតជាដំបូងនូវអ្វីដែលទំនាក់ទំនងធម្មតារវាងអតិថិជន និងសេវាកម្ម FcmDaemon គួរតែមើលទៅដោយកំណត់រចនាសម្ព័ន្ធកម្មវិធីដំឡើង និងដាក់ពង្រាយម៉ាស៊ីនភ្ញៀវចំណុចបញ្ចប់ជាមូលដ្ឋាន។
"យើងបានរកឃើញថាការប្រាស្រ័យទាក់ទងធម្មតារវាងម៉ាស៊ីនភ្ញៀវ endpoint និង FcmDaemon.exe ត្រូវបានអ៊ិនគ្រីបជាមួយ TLS ហើយវាហាក់បីដូចជាមិនមែនជាវិធីងាយស្រួលក្នុងការបោះបង់សោសម័យ TLS ដើម្បីឌិគ្រីបចរាចរណ៍ស្របច្បាប់នោះទេ" អ្នកអភិវឌ្ឍន៍កេងប្រវ័ញ្ច Horizon.ai លោក James Horseman បានពន្យល់។ នៅក្នុងប្រកាស។
បន្ទាប់មកក្រុមការងារបានប្រមូលព័ត៌មានលម្អិតពីកំណត់ហេតុរបស់សេវាកម្មអំពីការទំនាក់ទំនង ដែលផ្តល់ឱ្យអ្នកស្រាវជ្រាវនូវព័ត៌មានគ្រប់គ្រាន់ក្នុងការសរសេរអក្សរ Python ដើម្បីទំនាក់ទំនងជាមួយ FcmDaemon ។ Horseman បានសរសេរថា បន្ទាប់ពីការសាកល្បង និងកំហុសមួយចំនួន ក្រុមការងារអាចពិនិត្យមើលទម្រង់សារ និងបើក "ការប្រាស្រ័យទាក់ទងប្រកបដោយអត្ថន័យ" ជាមួយនឹងសេវាកម្ម FcmDaemon ដើម្បីចាប់ផ្តើមការចាក់ SQL ។
“យើងបានបង្កើតសំណុំបែបបទគេងធម្មតាមួយ ' និង 1=0; WAITFOR DELAY '00:00:10′ — '” គាត់បានពន្យល់នៅក្នុងការបង្ហោះ។ "យើងបានកត់សម្គាល់ការពន្យារពេល 10 វិនាទីក្នុងការឆ្លើយតប ហើយដឹងថាយើងបានបង្កឱ្យមានការកេងប្រវ័ញ្ច" ។
ដើម្បីប្រែក្លាយភាពងាយរងគ្រោះ SQL injection នេះទៅជាការវាយប្រហារ RCE អ្នកស្រាវជ្រាវបានប្រើមុខងារ xp_cmdshell ដែលមានស្រាប់របស់ Microsoft SQL Server ដើម្បីបង្កើត PoC នេះបើយោងតាមលោក Horseman ។ "ដំបូងឡើយ មូលដ្ឋានទិន្នន័យមិនត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីដំណើរការពាក្យបញ្ជា xp_cmdshell ទេ។ ទោះយ៉ាងណាក៏ដោយ វាត្រូវបានបើកដំណើរការតិចតួចជាមួយនឹងសេចក្តីថ្លែងការណ៍ SQL មួយចំនួនផ្សេងទៀត” គាត់បានសរសេរ។
វាសំខាន់ក្នុងការកត់សម្គាល់ថា PoC បញ្ជាក់តែភាពងាយរងគ្រោះដោយការប្រើ SQL injection ធម្មតាដោយគ្មាន xp_cmdshell ។ Horseman បានបន្ថែមថាសម្រាប់អ្នកវាយប្រហារដើម្បីបើក RCE PoC ត្រូវតែផ្លាស់ប្តូរ។
ការវាយប្រហារតាមអ៊ីនធឺណេតកើនឡើងនៅលើ Fortinet; បំណះឥឡូវនេះ
កំហុស Fortinet គឺជាគោលដៅដ៏ពេញនិយម សម្រាប់អ្នកវាយប្រហារ ដូចជា Chris Boyd ជាវិស្វករស្រាវជ្រាវបុគ្គលិកនៅក្រុមហ៊ុនសន្តិសុខ Tenable បានព្រមាននៅក្នុងការប្រឹក្សារបស់គាត់។ អំពីកំហុសដែលបានបោះពុម្ពផ្សាយដំបូងនៅថ្ងៃទី 14 ខែមីនា។ គាត់បានលើកឡើងជាឧទាហរណ៍នូវគុណវិបត្តិ Fortinet ផ្សេងទៀតដូចជា CVE-២០២០-០៦៨៨, ភាពងាយរងគ្រោះលើសចំណុះនៃសតិបណ្ដោះអាសន្នដែលមានមូលដ្ឋានលើ heap ដ៏សំខាន់នៅក្នុងផលិតផល Fortinet ជាច្រើន និង CVE-២០២០-០៦៨៨, កំហុសឆ្លងកាត់ការផ្ទៀងផ្ទាត់នៅក្នុង FortiOS, FortiProxy, និង FortiSwitch Manager technologies — នោះគឺ កេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែង. តាមពិតទៅ កំហុសចុងក្រោយនេះថែមទាំងត្រូវបានលក់ក្នុងគោលបំណងផ្តល់ឱ្យអ្នកវាយប្រហារចូលប្រើប្រព័ន្ធដំបូង។
"នៅពេលដែលកូដកេងប្រវ័ញ្ចត្រូវបានចេញផ្សាយ និងជាមួយនឹងការរំលោភបំពានកន្លងមកនៃកំហុស Fortinet ដោយអ្នកគំរាមកំហែង រួមទាំង តួអង្គការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) លោក Boyd បានសរសេរនៅក្នុងការអាប់ដេតទៅកាន់ទីប្រឹក្សារបស់គាត់បន្ទាប់ពីការចេញផ្សាយ Horizon.ai ។
Fortinet និង CISA ក៏កំពុងជំរុញឱ្យអតិថិជនដែលមិនបានប្រើឱកាសរវាងការប្រឹក្សាដំបូង និងការចេញផ្សាយនៃការកេងប្រវ័ញ្ច PoC ដើម្បី ម៉ាស៊ីនមេបំណះ ងាយរងគ្រោះចំពោះកំហុសចុងក្រោយនេះភ្លាមៗ។
ដើម្បីជួយអង្គការនានាកំណត់ថាតើកំហុសស្ថិតក្រោមការកេងប្រវ័ញ្ចនោះ Horseman របស់ Horizon.ai បានពន្យល់ពីរបៀបកំណត់សូចនាករនៃការសម្របសម្រួល (IoCs) នៅក្នុងបរិយាកាសមួយ។ គាត់បានសរសេរថា "មានឯកសារកំណត់ហេតុផ្សេងៗនៅក្នុង C:Program Files (x86)FortinetFortiClientEMSlogs ដែលអាចត្រូវបានពិនិត្យសម្រាប់ការតភ្ជាប់ពីអតិថិជនដែលមិនទទួលស្គាល់ ឬសកម្មភាពព្យាបាទផ្សេងទៀត"។ "កំណត់ហេតុ MS SQL ក៏អាចត្រូវបានពិនិត្យសម្រាប់ភស្តុតាងនៃ xp_cmdshell ដែលត្រូវបានប្រើប្រាស់ដើម្បីទទួលបានការប្រតិបត្តិពាក្យបញ្ជា។"
- SEO ដែលដំណើរការដោយមាតិកា និងការចែកចាយ PR ។ ទទួលបានការពង្រីកថ្ងៃនេះ។
- PlatoData.Network Vertical Generative Ai. ផ្តល់អំណាចដល់ខ្លួនអ្នក។ ចូលប្រើទីនេះ។
- PlatoAiStream Web3 Intelligence ។ ចំណេះដឹងត្រូវបានពង្រីក។ ចូលប្រើទីនេះ។
- ផ្លាតូអេសជី។ កាបូន CleanTech, ថាមពល, បរិស្ថាន, ពន្លឺព្រះអាទិត្យ ការគ្រប់គ្រងកាកសំណល់។ ចូលប្រើទីនេះ។
- ផ្លាតូសុខភាព។ ជីវបច្ចេកវិទ្យា និង ភាពវៃឆ្លាត សាកល្បងគ្លីនិក។ ចូលប្រើទីនេះ។
- ប្រភព: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
