Cum era de așteptat, atacatorii cibernetici s-au năpustit pe o execuție critică de cod la distanță (RCE) vulnerabilitate în Fortinet Enterprise Management Server (EMS) care a fost corectat săptămâna trecută, permițându-le să execute cod și comenzi arbitrare cu privilegii de administrator de sistem pe sistemele afectate.
Defectul, urmărit ca CVE-2024-48788 cu un scor de severitate a vulnerabilității CVSS de 9.3 din 10, a fost unul dintre cele trei pe care Agenția pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) le-a adăugat la 25 martie. Catalogul vulnerabilităților exploatate cunoscute, care ține evidența vulnerabilităților de securitate sub exploatare activă. Fortinet, care a avertizat utilizatorii despre defect precum și l-a corectat la începutul acestei luni, și l-a actualizat în liniște consiliere de securitate pentru a observa exploatarea acestuia.
Mai exact, defectul se găsește în FortiClient EMS, versiunea VM a consolei de management centrală a FortiClient. Devine dintr-o Eroare de injectare SQL într-o componentă de stocare atașată direct a serverului și este stimulată de comunicațiile dintre server și punctele finale atașate acestuia.
„O neutralizare necorespunzătoare a elementelor speciale utilizate într-o comandă SQL... vulnerabilitatea [CWE-89] în FortiClientEMS poate permite unui atacator neautentificat să execute cod sau comenzi neautorizate prin solicitări special concepute”, potrivit avizului Fortinet.
Exploatare Proof-of-Concept pentru CVE-2024-48788
Exploatarea actuală a defectului urmează lansării săptămâna trecută a unui dovada de concept (PoC) exploatează codul, precum și o analiză de către cercetători de la Horizon.ai detalierea modului în care defectul poate fi exploatat.
Cercetătorii Horizon.ai au descoperit că defectul constă în modul în care serviciul principal al serverului responsabil de comunicarea cu clienții terminali înscriși – FcmDaemon.exe – interacționează cu acești clienți. În mod implicit, serviciul ascultă pe portul 8013 pentru conexiunile client de intrare, pe care cercetătorii le-au folosit pentru a dezvolta PoC.
Alte componente ale serverului care interacționează cu acest serviciu sunt un server de acces la date, FCTDas.exe, care este responsabil pentru traducerea cererilor de la diverse alte componente ale serverului în cereri SQL pentru a interacționa apoi cu baza de date Microsoft SQL Server.
Exploatarea defectului Fortinet
Pentru a exploata defectul, cercetătorii Horizon.ai au stabilit mai întâi cum ar trebui să arate comunicațiile tipice dintre un client și serviciul FcmDaemon, configurând un program de instalare și implementând un client endpoint de bază.
„Am descoperit că comunicațiile normale dintre un client de punct final și FcmDaemon.exe sunt criptate cu TLS și nu pare să existe o modalitate ușoară de a descărca cheile de sesiune TLS pentru a decripta traficul legitim”, a explicat James Horseman, dezvoltatorul de exploatare Horizon.ai. în postare.
Apoi, echipa a adunat detalii din jurnalul serviciului despre comunicații, care a oferit cercetătorilor suficiente informații pentru a scrie un script Python pentru a comunica cu FcmDaemon. După câteva încercări și erori, echipa a reușit să examineze formatul mesajului și să permită „comunicarea semnificativă” cu serviciul FcmDaemon pentru a declanșa o injecție SQL, a scris Horseman.
„Am construit o încărcătură utilă de somn simplă a formularului 'ȘI 1=0; WAITFOR DELAY '00:00:10′ — '”, a explicat el în postare. „Am observat întârzierea de 10 secunde în răspuns și am știut că am declanșat exploit-ul.”
Pentru a transforma această vulnerabilitate de injecție SQL într-un atac RCE, cercetătorii au folosit funcționalitatea xp_cmdshell încorporată a Microsoft SQL Server pentru a crea PoC, potrivit Horseman. „Inițial, baza de date nu a fost configurată să ruleze comanda xp_cmdshell; cu toate acestea, a fost activat în mod trivial cu alte câteva instrucțiuni SQL”, a scris el.
Este important de reținut că PoC confirmă doar vulnerabilitatea folosind o simplă injecție SQL fără xp_cmdshell; pentru ca un atacator să activeze RCE, PoC trebuie modificat, a adăugat Horseman.
Se intensifică atacurile cibernetice pe Fortinet; Corectează acum
Bug-urile Fortinet sunt ținte populare pentru atacatori, ca Chris Boyd, inginer de cercetare personal la firma de securitate a avertizat Tenable în avizul său despre defectul publicat inițial pe 14 martie. El a citat ca exemple câteva alte defecte Fortinet - cum ar fi CVE-2023-27997, o vulnerabilitate critică de depășire a tamponului bazată pe heap în mai multe produse Fortinet și CVE-2022-40684, o eroare de ocolire a autentificării în tehnologiile FortiOS, FortiProxy și FortiSwitch Manager - care au fost exploatate de actorii amenințărilor. De fapt, acest din urmă bug a fost chiar vândut cu scopul de a oferi atacatorilor acces inițial la sisteme.
„Deoarece codul de exploatare a fost lansat și cu abuzul trecut al defectelor Fortinet de către actorii amenințărilor, inclusiv actori amenințări persistente avansate (APT). și grupurilor de state naționale, recomandăm cu căldură remedierea acestei vulnerabilități cât mai curând posibil”, a scris Boyd într-o actualizare a avizului său după lansarea Horizon.ai.
Fortinet și CISA îndeamnă, de asemenea, clienții care nu au folosit fereastra de oportunitate dintre consultanța inițială și lansarea exploatării PoC să servere de corecție vulnerabil imediat la acest ultim defect.
Pentru a ajuta organizațiile să identifice dacă defectul este în curs de exploatare, Horseman de la Horizon.ai a explicat cum să identifice indicatorii de compromis (IoC) într-un mediu. „Există diverse fișiere jurnal în C:Program Files (x86)FortinetFortiClientEMSlogs care pot fi examinate pentru conexiuni de la clienți nerecunoscuți sau alte activități rău intenționate”, a scris el. „Jurnalele MS SQL pot fi, de asemenea, examinate pentru dovezi ale utilizării xp_cmdshell pentru a obține execuția comenzii.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
