Som forventet, nettangripere har slått til på en kritisk ekstern kodekjøring (RCE) sårbarhet i Fortinet Enterprise Management Server (EMS) som ble oppdatering i forrige uke, slik at de kan utføre vilkårlig kode og kommandoer med systemadministratorrettigheter på berørte systemer.

Feilen, spores som CVE-2024-48788 med en 9.3 av 10 CVSS-sårbarhet-alvorlighetspoeng, var en av tre som Cybersecurity and Infrastructure Security Agency (CISA) 25. mars la til sine Katalog over kjente utnyttede sårbarheter, som holder styr på sikkerhetssårbarheter under aktiv utnyttelse. Fortinet, som advarte brukere om feilen i tillegg til å lappe den tidligere denne måneden, oppdaterte den også stille sikkerhetsrådgivende å merke seg utnyttelsen.

Nærmere bestemt finnes feilen i FortiClient EMS, VM-versjonen av FortiClients sentrale administrasjonskonsoll. Det stammer fra en SQL-injeksjonsfeil i en direkte tilkoblet lagringskomponent på serveren og anspores av kommunikasjon mellom serveren og endepunkter knyttet til den.

"En feilaktig nøytralisering av spesialelementer brukt i en SQL Command … sårbarhet [CWE-89] i FortiClientEMS kan tillate en uautentisert angriper å utføre uautorisert kode eller kommandoer via spesifikt utformede forespørsler," ifølge Fortinets råd.

Proof-of-Concept-utnyttelse for CVE-2024-48788

Den nåværende utnyttelsen av feilen følger utgivelsen forrige uke av en proof-of-concept (PoC) utnytte kode samt en analyse av forskere ved Horizon.ai detaljer om hvordan feilen kan utnyttes.

Horizon.ai-forskere oppdaget at feilen ligger i hvordan serverens hovedtjeneste som er ansvarlig for å kommunisere med registrerte endepunktklienter – FcmDaemon.exe – samhandler med disse klientene. Som standard lytter tjenesten på port 8013 for innkommende klientforbindelser, som forskerne brukte til å utvikle PoC.

Andre komponenter på serveren som samhandler med denne tjenesten er en datatilgangsserver, FCTDas.exe, som er ansvarlig for å oversette forespørsler fra forskjellige andre serverkomponenter til SQL-forespørsler for deretter å samhandle med Microsoft SQL Server-databasen.

Utnytter Fortinet-feilen

For å utnytte feilen, etablerte Horizon.ai-forskere først hvordan typisk kommunikasjon mellom en klient og FcmDaemon-tjenesten skal se ut ved å konfigurere et installasjonsprogram og distribuere en grunnleggende endepunktklient.

"Vi fant ut at normal kommunikasjon mellom en endepunktklient og FcmDaemon.exe er kryptert med TLS, og det så ikke ut til å være noen enkel måte å dumpe TLS-øktnøkler for å dekryptere den legitime trafikken," forklarte Horizon.ai-utvikleren James Horseman. i posten.

Teamet hentet deretter detaljer fra tjenestens logg om kommunikasjonen, som ga forskerne nok informasjon til å skrive et Python-skript for å kommunisere med FcmDaemon. Etter litt prøving og feiling var teamet i stand til å undersøke meldingsformatet og aktivere "meningsfull kommunikasjon" med FcmDaemon-tjenesten for å utløse en SQL-injeksjon, skrev Horseman.

"Vi konstruerte en enkel søvnnyttelast av skjemaet ' OG 1=0; WAITFOR DELAY '00:00:10′ — '," forklarte han i innlegget. "Vi la merke til 10-sekunders forsinkelsen i responsen og visste at vi hadde utløst utnyttelsen."

For å gjøre denne SQL-injeksjonssårbarheten til et RCE-angrep, brukte forskerne den innebygde xp_cmdshell-funksjonaliteten til Microsoft SQL Server for å lage PoC, ifølge Horseman. “Opprinnelig var ikke databasen konfigurert til å kjøre kommandoen xp_cmdshell; det var imidlertid trivielt aktivert med noen få andre SQL-setninger," skrev han.

Det er viktig å merke seg at PoC bare bekrefter sårbarheten ved å bruke en enkel SQL-injeksjon uten xp_cmdshell; for at en angriper skal aktivere RCE, må PoC endres, la Horseman til.

Cyberangrep øker på Fortinet; Patch nå

Fortinet-feil er populære mål for angripere, som Chris Boyd, stabsforskningsingeniør ved sikkerhetsfirmaet Tenable advarte i sin veiledning om feilen som opprinnelig ble publisert 14. mars. Han nevnte som eksempler flere andre Fortinet-feil – som f.eks. CVE-2023-27997, en kritisk heap-basert bufferoverløpssårbarhet i flere Fortinet-produkter, og CVE-2022-40684, en autentiseringsomgåelsesfeil i FortiOS-, FortiProxy- og FortiSwitch Manager-teknologier – som var utnyttet av trusselaktører. Faktisk ble den sistnevnte feilen til og med solgt med det formål å gi angripere innledende tilgang til systemer.

"Som utnyttelseskode har blitt utgitt og med tidligere misbruk av Fortinet-feil av trusselaktører, inkludert avanserte vedvarende trussel (APT) aktører og nasjonalstatsgrupper, anbefaler vi på det sterkeste å utbedre denne sårbarheten så snart som mulig», skrev Boyd i en oppdatering til sin rådgivning etter Horizon.ai-utgivelsen.

Fortinet og CISA oppfordrer også klienter som ikke brukte mulighetsvinduet mellom den første rådgivningen og utgivelsen av PoC-utnyttelsen til å patchservere sårbar for denne siste feilen umiddelbart.

For å hjelpe organisasjoner med å identifisere om feilen er under utnyttelse, forklarte Horizon.ai's Horseman hvordan man identifiserer indikatorer på kompromiss (IoCs) i et miljø. "Det er forskjellige loggfiler i C:Program Files (x86)FortinetFortiClientEMSlogs som kan undersøkes for tilkoblinger fra ukjente klienter eller annen ondsinnet aktivitet," skrev han. "MS SQL-loggene kan også undersøkes for bevis på at xp_cmdshell blir brukt for å oppnå kommandoutførelse."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack