Logo Zephyrnet

Generatywna analiza danych

Bezpieczeństwo cybernetyczne

Aktualizacja teraz: Krytyczny błąd Fortinet RCE podczas aktywnego ataku

Opublikowane ponownie przez Plato
Opublikowane ponownie przez Plato

Data:

Odwiedzin: 98

Zgodnie z oczekiwaniami, cyberprzestępcy zaatakowali podczas krytycznego zdalnego wykonania kodu (RCE) luka w zabezpieczeniach Fortinet Enterprise Management Server (EMS) który został załatany w zeszłym tygodniu, umożliwiając im wykonywanie dowolnego kodu i poleceń z uprawnieniami administratora systemu w systemach, których dotyczy problem.

Wada, śledzona jako CVE-2024-48788 z wynikiem 9.3 na 10 punktów podatności na zagrożenia CVSS, był jednym z trzech, które Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) dodała 25 marca do swojego Katalog znanych wykorzystywanych luk w zabezpieczeniach, który śledzi luki w zabezpieczeniach w ramach aktywnego exploita. Fortineta, który ostrzegł użytkowników o błędzie a także załatał go na początku tego miesiąca, także po cichu go zaktualizował doradztwo bezpieczeństwa zauważyć jego eksploatację.

W szczególności usterka występuje w FortiClient EMS, wersji VM centralnej konsoli zarządzania FortiClient. Wywodzi się z Błąd wstrzyknięcia SQL w bezpośrednio podłączonym elemencie pamięci masowej serwera i jest stymulowana przez komunikację między serwerem a podłączonymi do niego punktami końcowymi.

„Niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL… luka [CWE-89] w FortiClientEMS może pozwolić nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanego kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań” – wynika z poradnika Fortinet.

Exploit weryfikujący koncepcję dla CVE-2024-48788

Obecne wykorzystanie tej luki następuje po wydaniu w zeszłym tygodniu pliku weryfikacja koncepcji (PoC) kod exploita, a także analiza przez badacze z Horizon.ai szczegółowo opisując, w jaki sposób można wykorzystać tę wadę.

Badacze Horizon.ai odkryli, że luka polega na sposobie, w jaki główna usługa serwera odpowiedzialna za komunikację z zarejestrowanymi klientami punktów końcowych — FcmDaemon.exe — wchodzi w interakcję z tymi klientami. Domyślnie usługa nasłuchuje na porcie 8013 przychodzących połączeń klientów, które badacze wykorzystali do opracowania PoC.

Inne komponenty serwera współdziałające z tą usługą to serwer dostępu do danych FCTDas.exe, który jest odpowiedzialny za tłumaczenie żądań z różnych innych komponentów serwera na żądania SQL, aby następnie wchodzić w interakcję z bazą danych Microsoft SQL Server.

Wykorzystanie wady Fortineta

Aby wykorzystać tę lukę, badacze Horizon.ai najpierw ustalili, jak powinna wyglądać typowa komunikacja między klientem a usługą FcmDaemon, konfigurując instalator i wdrażając podstawowy klient punktu końcowego.

„Odkryliśmy, że normalna komunikacja między klientem punktu końcowego a programem FcmDaemon.exe jest szyfrowana przy użyciu protokołu TLS i nie wydaje się, aby istniał łatwy sposób na zrzucenie kluczy sesji TLS w celu odszyfrowania legalnego ruchu” – wyjaśnił James Horseman, twórca exploita Horizon.ai w poście.

Następnie zespół zebrał z dziennika usługi szczegółowe informacje na temat komunikacji, co dostarczyło badaczom wystarczającej ilości informacji, aby napisać skrypt w języku Python umożliwiający komunikację z FcmDaemonem. Po kilku próbach i błędach zespołowi udało się sprawdzić format wiadomości i umożliwić „istotną komunikację” z usługą FcmDaemon w celu wyzwolenia zastrzyku SQL – napisał Horseman.

„Skonstruowaliśmy prosty ładunek uśpienia w postaci ' ORAZ 1=0; OPÓŹNIENIE OCZEKIWANIA „00:00:10′ — „” – wyjaśnił w poście. „Zauważyliśmy 10-sekundowe opóźnienie w odpowiedzi i wiedzieliśmy, że uruchomiliśmy exploit”.

Według Horsemana, aby zamienić tę lukę polegającą na wstrzykiwaniu SQL w atak RCE, badacze wykorzystali wbudowaną funkcję xp_cmdshell programu Microsoft SQL Server do stworzenia PoC. „Początkowo baza danych nie była skonfigurowana do uruchamiania komendy xp_cmdshell; jednakże można było to w prosty sposób włączyć za pomocą kilku innych instrukcji SQL” – napisał.

Należy zauważyć, że PoC potwierdza lukę jedynie za pomocą prostego wstrzyknięcia SQL bez powłoki xp_cmdshell; aby atakujący mógł włączyć RCE, PoC musi zostać zmieniony, dodał Horseman.

Nasilają się cyberataki na Fortinet; Popraw teraz

Błędy Fortinet są popularnymi celami dla atakujących, jak Chris Boyd, inżynier ds. badań w firmie ochroniarskiej Tenable ostrzegł w swoim poradniku o usterce pierwotnie opublikowano 14 marca. Jako przykłady podał kilka innych wad Fortinet — m.in CVE-2023-27997, krytyczna luka w zabezpieczeniach związana z przepełnieniem bufora w wielu produktach Fortinet oraz CVE-2022-40684, luka w obejściu uwierzytelniania w technologiach FortiOS, FortiProxy i FortiSwitch Manager – które zostały wykorzystywane przez podmioty zagrażające. W rzeczywistości ten ostatni błąd został nawet sprzedany w celu zapewnienia atakującym pierwszego dostępu do systemów.

„W związku z udostępnieniem kodu exploita i wykorzystywaniem wad Fortinet w przeszłości przez podmioty zagrażające, w tym zaawansowane trwałe zagrożenia (APT). i grupom państw narodowych zdecydowanie zalecamy jak najszybsze naprawienie tej luki” – napisał Boyd w aktualizacji swojego poradnika po wydaniu Horizon.ai.

Fortinet i CISA wzywają również klientów, którzy nie wykorzystali okazji pomiędzy wstępnym doradztwem a udostępnieniem exploita PoC, aby serwery poprawek natychmiast podatny na tę najnowszą wadę.

Aby pomóc organizacjom określić, czy luka jest wykorzystywana, Horseman z Horizon.ai wyjaśnił, jak identyfikować wskaźniki kompromisu (IoC) w środowisku. „W C:Program Files (x86)FortinetFortiClientEMSlogs znajdują się różne pliki dziennika, które można sprawdzić pod kątem połączeń od nierozpoznanych klientów lub innej szkodliwej aktywności” – napisał. „Dzienniki MS SQL można również sprawdzić pod kątem dowodów wykorzystania xp_cmdshell do uzyskania wykonania polecenia.”

spot_img

Najnowsza inteligencja

spot_img

Prawa autorskie @ 2024 Plato Technologies Inc.