Логотип Зефирнет

Генеративный анализ данных

Информационная безопасность

Исправьте сейчас: критическая ошибка Fortinet RCE под активной атакой

Переиздано Платоном
Переиздано Платоном

Дата:

Вид: 98

Как и ожидалось, кибератаки напали при критическом удаленном выполнении кода (RCE) уязвимость в сервере управления предприятием Fortinet (EMS) это было исправлено на прошлой неделе, что позволяет им выполнять произвольный код и команды с правами системного администратора на затронутых системах.

Недостаток, отслеживаемый как CVE-2024-48788 с оценкой степени уязвимости и серьезности CVSS 9.3 из 10, был одним из трех, которые Агентство кибербезопасности и безопасности инфраструктуры (CISA) 25 марта добавило в свой список Каталог известных эксплуатируемых уязвимостей, который отслеживает уязвимости безопасности при активных эксплойтах. Фортинет, который предупредил пользователей об ошибке а также пропатчил его в начале этого месяца, а также незаметно обновил его обеспечение безопасности отметить его эксплуатацию.

В частности, уязвимость обнаружена в FortiClient EMS, версии центральной консоли управления FortiClient для виртуальной машины. Это происходит из Ошибка SQL-инъекции в компоненте хранилища с прямым подключением на сервере и стимулируется связью между сервером и подключенными к нему конечными точками.

«Неправильная нейтрализация специальных элементов, используемых в SQL-команде… уязвимость [CWE-89] в FortiClientEMS может позволить неаутентифицированному злоумышленнику выполнить неавторизованный код или команды посредством специально созданных запросов», — говорится в сообщении Fortinet.

Эксплойт для проверки концепции CVE-2024-48788

Текущая эксплуатация уязвимости последовала за выпуском на прошлой неделе доказательство концепции (PoC) код эксплойта, а также анализ с помощью исследователи Horizon.ai подробное описание того, как можно использовать этот недостаток.

Исследователи Horizon.ai обнаружили, что ошибка заключается в том, как основная служба сервера, отвечающая за взаимодействие с зарегистрированными клиентами конечных точек, — FcmDaemon.exe — взаимодействует с этими клиентами. По умолчанию служба прослушивает порт 8013 на предмет входящих клиентских подключений, которые исследователи использовали при разработке PoC.

Другими компонентами сервера, которые взаимодействуют с этой службой, являются сервер доступа к данным FCTDas.exe, который отвечает за преобразование запросов от различных других компонентов сервера в запросы SQL для последующего взаимодействия с базой данных Microsoft SQL Server.

Использование недостатка Fortinet

Чтобы воспользоваться уязвимостью, исследователи Horizon.ai сначала установили, как должна выглядеть типичная связь между клиентом и службой FcmDaemon, настроив установщик и развернув базовый клиент конечной точки.

«Мы обнаружили, что обычный обмен данными между клиентом конечной точки и FcmDaemon.exe шифруется с помощью TLS, и, похоже, не существует простого способа выгрузить сеансовые ключи TLS для расшифровки законного трафика», — объяснил разработчик эксплойтов Horizon.ai Джеймс Хорсман. в посте.

Затем команда извлекла из журнала службы информацию о взаимодействиях, что предоставило исследователям достаточно информации для написания сценария Python для связи с FcmDaemon. После некоторых проб и ошибок команде удалось изучить формат сообщения и включить «содержательную связь» со службой FcmDaemon для запуска SQL-инъекции, пишет Хорсман.

«Мы создали простую полезную нагрузку для сна в форме ' И 1=0; ОЖИДАНИЕ ЗАДЕРЖКИ '00:00:10' —'», — пояснил он в посте. «Мы заметили 10-секундную задержку ответа и поняли, что запустили эксплойт».

По словам Хорсмана, чтобы превратить эту уязвимость SQL-инъекции в RCE-атаку, исследователи использовали встроенную функциональность xp_cmdshell Microsoft SQL Server для создания PoC. «Изначально база данных не была настроена для запуска команды xp_cmdshell; однако его можно было тривиально включить с помощью нескольких других операторов SQL», — написал он.

Важно отметить, что PoC подтверждает уязвимость только с помощью простой инъекции SQL без xp_cmdshell; Чтобы злоумышленник включил RCE, необходимо изменить PoC, добавил Хорсман.

Кибератаки на Fortinet набирают обороты; Исправьте сейчас

Ошибки Fortinet — популярные цели для злоумышленников, как говорит Крис Бойд, штатный инженер-исследователь охранной фирмы Тенабл предупредил в своем сообщении об уязвимости, первоначально опубликованной 14 марта. В качестве примера он привел несколько других уязвимостей Fortinet, таких как CVE-2023-27997, критическая уязвимость переполнения буфера в куче во многих продуктах Fortinet, а также CVE-2022-40684, ошибка обхода аутентификации в технологиях FortiOS, FortiProxy и FortiSwitch Manager — которые были используется злоумышленниками. Фактически, последняя ошибка даже была продана с целью предоставить злоумышленникам первоначальный доступ к системам.

«Поскольку был выпущен код эксплойта и в прошлом злоупотребляли недостатками Fortinet со стороны злоумышленников, в том числе субъекты расширенных постоянных угроз (APT) и группам национальных государств, мы настоятельно рекомендуем устранить эту уязвимость как можно скорее», — написал Бойд в обновлении своего совета после выпуска Horizon.ai.

Fortinet и CISA также призывают клиентов, которые не использовали окно возможностей между первоначальным консультированием и выпуском PoC-эксплойта, серверы исправлений уязвимы для этого последнего недостатка немедленно.

Чтобы помочь организациям определить, используется ли уязвимость, Всадник из Horizon.ai объяснил, как определить индикаторы компрометации (IoC) в среде. «В C:Program Files (x86)FortinetFortiClientEMSlogs имеются различные файлы журналов, которые можно проверить на наличие подключений от нераспознанных клиентов или другой вредоносной активности», — написал он. «Журналы MS SQL также можно проверить на наличие доказательств использования xp_cmdshell для получения выполнения команд».

Spot_img

Последняя разведка

Spot_img

Авторские права @ 2024 Plato Technologies Inc.