Como esperado, ciberataques atacaram em uma execução remota crítica de código (RCE) vulnerabilidade no Fortinet Enterprise Management Server (EMS) que foi corrigido na semana passada, permitindo-lhes executar códigos e comandos arbitrários com privilégios de administrador de sistema nos sistemas afetados.

A falha, rastreada como CVE-2024-48788 com uma pontuação de gravidade de vulnerabilidade CVSS de 9.3 em 10, foi um dos três que a Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou em 25 de março ao seu Catálogo de vulnerabilidades exploradas conhecidas, que monitora vulnerabilidades de segurança sob exploração ativa. Fortinet, que alertou os usuários sobre a falha além de corrigi-lo no início deste mês, também atualizou discretamente seu assessoria de segurança para observar sua exploração.

Especificamente, a falha é encontrada no FortiClient EMS, a versão VM do console de gerenciamento central do FortiClient. Ela decorre de um Erro de injeção SQL em um componente de armazenamento de conexão direta do servidor e é estimulado pelas comunicações entre o servidor e os terminais conectados a ele.

“Uma neutralização inadequada de elementos especiais usados ​​em um comando SQL… vulnerabilidade [CWE-89] no FortiClientEMS pode permitir que um invasor não autenticado execute códigos ou comandos não autorizados por meio de solicitações especificamente criadas”, de acordo com o comunicado da Fortinet.

Exploração de prova de conceito para CVE-2024-48788

A exploração atual da falha segue o lançamento na semana passada de um prova de conceito (PoC) explorar código, bem como uma análise por pesquisadores da Horizon.ai detalhando como a falha pode ser explorada.

Os pesquisadores da Horizon.ai descobriram que a falha está na forma como o principal serviço do servidor responsável pela comunicação com os clientes endpoint registrados – FcmDaemon.exe – interage com esses clientes. Por padrão, o serviço escuta na porta 8013 as conexões de entrada do cliente, que os pesquisadores usaram para desenvolver o PoC.

Outros componentes do servidor que interagem com este serviço são um servidor de acesso a dados, FCTDas.exe, que é responsável por traduzir solicitações de vários outros componentes do servidor em solicitações SQL para então interagir com o banco de dados Microsoft SQL Server.

Explorando a falha Fortinet

Para explorar a falha, os pesquisadores do Horizon.ai primeiro estabeleceram como deveriam ser as comunicações típicas entre um cliente e o serviço FcmDaemon, configurando um instalador e implantando um cliente endpoint básico.

“Descobrimos que as comunicações normais entre um cliente endpoint e FcmDaemon.exe são criptografadas com TLS, e não parecia haver uma maneira fácil de despejar chaves de sessão TLS para descriptografar o tráfego legítimo”, explicou James Horseman, desenvolvedor de exploração do Horizon.ai. na postagem.

A equipe então coletou detalhes do log do serviço sobre as comunicações, o que forneceu aos pesquisadores informações suficientes para escrever um script Python para se comunicar com o FcmDaemon. Após algumas tentativas e erros, a equipe conseguiu examinar o formato da mensagem e permitir uma “comunicação significativa” com o serviço FcmDaemon para acionar uma injeção de SQL, escreveu Horseman.

“Construímos uma carga útil de sono simples no formato 'E 1=0; ESPERE POR ATRASO '00:00:10 ′ - '”, explicou ele no post. “Percebemos o atraso de 10 segundos na resposta e sabíamos que havíamos acionado a exploração.”

Para transformar essa vulnerabilidade de injeção de SQL em um ataque RCE, os pesquisadores usaram a funcionalidade xp_cmdshell integrada do Microsoft SQL Server para criar o PoC, de acordo com Horseman. “Inicialmente, o banco de dados não estava configurado para executar o comando xp_cmdshell; no entanto, foi habilitado de forma trivial com algumas outras instruções SQL”, escreveu ele.

É importante observar que o PoC apenas confirma a vulnerabilidade usando uma simples injeção de SQL sem xp_cmdshell; para que um invasor habilite o RCE, o PoC deve ser alterado, acrescentou Horseman.

Aumentam os ataques cibernéticos na Fortinet; Remendar agora

Bugs da Fortinet são alvos populares para invasores, como Chris Boyd, engenheiro de pesquisa da empresa de segurança Tenable alertou em seu comunicado sobre a falha publicada originalmente em 14 de março. Ele citou como exemplos diversas outras falhas do Fortinet — como CVE-2023-27997, uma vulnerabilidade crítica de buffer overflow baseada em heap em vários produtos Fortinet, e CVE-2022-40684, uma falha de desvio de autenticação nas tecnologias FortiOS, FortiProxy e FortiSwitch Manager – que foram explorado por atores de ameaças. Na verdade, o último bug foi até vendido com o propósito de dar aos invasores acesso inicial aos sistemas.

“À medida que o código de exploração foi lançado e com o abuso anterior das falhas do Fortinet por parte dos agentes de ameaças, incluindo atores de ameaças persistentes avançadas (APT) e grupos de estados-nação, é altamente recomendável remediar esta vulnerabilidade o mais rápido possível”, escreveu Boyd em uma atualização de seu comunicado após o lançamento do Horizon.ai.

A Fortinet e a CISA também estão pedindo aos clientes que não aproveitaram a janela de oportunidade entre o aviso inicial e o lançamento da exploração PoC para servidores de patches vulnerável a esta última falha imediatamente.

Para ajudar as organizações a identificar se a falha está sendo explorada, Horseman, da Horizon.ai, explicou como identificar indicadores de comprometimento (IoCs) em um ambiente. “Existem vários arquivos de log em C:Program Files (x86)FortinetFortiClientEMSlogs que podem ser examinados em busca de conexões de clientes não reconhecidos ou outras atividades maliciosas”, escreveu ele. “Os logs do MS SQL também podem ser examinados em busca de evidências de que xp_cmdshell está sendo utilizado para obter a execução de comandos.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack