Kot je bilo pričakovano, kibernetski napadalci so napadli pri kritičnem oddaljenem izvajanju kode (RCE) ranljivost v Fortinet Enterprise Management Server (EMS) ki je bil popravljen prejšnji teden, kar jim je omogočilo izvajanje poljubne kode in ukazov s privilegiji sistemskega skrbnika v prizadetih sistemih.

Napaka, sledena kot CVE-2024-48788 z oceno resnosti ranljivosti 9.3 od 10 CVSS je bil eden od treh, ki jih je Agencija za kibernetsko in infrastrukturno varnost (CISA) 25. marca dodala svoji Katalog znanih izkoriščanih ranljivosti, ki spremlja varnostne ranljivosti pri aktivnem izkoriščanju. Fortinet, ki uporabnike opozoril na napako kot tudi popravil v začetku tega meseca, tudi tiho posodobil svoj varnostno svetovanje opozoriti na njegovo izkoriščanje.

Natančneje, napako najdemo v FortiClient EMS, različici VM centralne upravljalne konzole FortiClient. Izhaja iz an Napaka vbrizgavanja SQL v neposredno priključeni pomnilniški komponenti strežnika in je sprožena s komunikacijo med strežnikom in nanj priključenimi končnimi točkami.

»Neustrezna nevtralizacija posebnih elementov, uporabljenih v ukazu SQL … ranljivost [CWE-89] v FortiClientEMS, lahko neavtenticiranemu napadalcu omogoči izvajanje nepooblaščene kode ali ukazov prek posebej oblikovanih zahtev,« piše v Fortinetovem svetovanju.

Proof-of-Concept Exploit za CVE-2024-48788

Trenutno izkoriščanje napake sledi izdaji prejšnji teden a dokaz koncepta (PoC) kodo izkoriščanja ter analizo s strani raziskovalci na Horizon.ai s podrobnostmi, kako je mogoče napako izkoristiti.

Raziskovalci Horizon.ai so odkrili, da je napaka v tem, kako glavna storitev strežnika, odgovorna za komunikacijo z vpisanimi odjemalci končne točke – FcmDaemon.exe – sodeluje s temi odjemalci. Storitev privzeto posluša vrata 8013 za dohodne povezave odjemalcev, ki so jih raziskovalci uporabili za razvoj PoC.

Druge komponente strežnika, ki sodelujejo s to storitvijo, so strežnik za dostop do podatkov, FCTDas.exe, ki je odgovoren za prevajanje zahtev iz različnih drugih komponent strežnika v zahteve SQL za nato interakcijo z bazo podatkov Microsoft SQL Server.

Izkoriščanje napake Fortinet

Da bi lahko izkoristili napako, so raziskovalci Horizon.ai najprej ugotovili, kakšna naj bi bila tipična komunikacija med odjemalcem in storitvijo FcmDaemon, tako da so konfigurirali namestitveni program in uvedli osnovnega odjemalca končne točke.

"Ugotovili smo, da je običajna komunikacija med odjemalcem končne točke in FcmDaemon.exe šifrirana s TLS, in zdi se, da ni preprostega načina za izpis sejnih ključev TLS za dešifriranje zakonitega prometa," je pojasnil razvijalec izkoriščanja Horizon.ai James Horseman. v objavi.

Ekipa je nato iz dnevnika storitve zbrala podrobnosti o komunikacijah, ki so raziskovalcem zagotovile dovolj informacij za pisanje skripta Python za komunikacijo s FcmDaemonom. Po nekaj poskusih in napakah je ekipi uspelo pregledati obliko sporočila in omogočiti "smiselno komunikacijo" s storitvijo FcmDaemon za sprožitev vbrizgavanja SQL, je zapisal Horseman.

»Konstruirali smo preprosto obremenitev za spanje oblike ' IN 1=0; POČAKAJ NA ZAKASNITEV '00:00:10′ — ',« je pojasnil v objavi. "Opazili smo 10-sekundno zakasnitev odziva in vedeli smo, da smo sprožili izkoriščanje."

Da bi to ranljivost vbrizgavanja SQL spremenili v napad RCE, so raziskovalci po besedah ​​Horsemana uporabili vgrajeno funkcionalnost xp_cmdshell strežnika Microsoft SQL Server, da bi ustvarili PoC. »Na začetku zbirka podatkov ni bila konfigurirana za izvajanje ukaza xp_cmdshell; vendar je bil trivialno omogočen z nekaj drugimi stavki SQL,« je zapisal.

Pomembno je omeniti, da PoC samo potrdi ranljivost z uporabo preproste injekcije SQL brez xp_cmdshell; da bi napadalec omogočil RCE, je treba spremeniti PoC, je dodal Horseman.

Kibernetski napadi na Fortinet naraščajo; Popravi zdaj

Hrošči Fortinet so priljubljene tarče za napadalce, kot Chris Boyd, zaposleni raziskovalni inženir pri varnostnem podjetju Tenable je opozoril v svojem svetovanju o napaki, ki je bila prvotno objavljena 14. marca. Kot primere je navedel več drugih napak Fortinet - kot npr. CVE-2023-27997, kritična ranljivost prekoračitve medpomnilnika na podlagi kopice v več izdelkih Fortinet in CVE-2022-40684, napaka pri obvodu avtentikacije v tehnologijah FortiOS, FortiProxy in FortiSwitch Manager – ki so bile izkoriščajo akterji groženj. Pravzaprav je bila zadnja napaka celo prodana z namenom, da bi napadalcem omogočili začetni dostop do sistemov.

»Izdana je bila koda izkoriščanja in pretekla zloraba napak Fortinet s strani akterjev groženj, vključno z akterji naprednih trajnih groženj (APT). in skupine nacionalnih držav toplo priporočamo, da to ranljivost odpravite čim prej,« je zapisal Boyd v posodobitvi svojega svetovanja po izdaji Horizon.ai.

Fortinet in CISA prav tako pozivata stranke, ki niso izkoristile priložnosti med začetnim svetovanjem in izdajo izkoriščanja PoC, naj strežniki popravkov takoj ranljivi za to najnovejšo napako.

Da bi organizacijam pomagal ugotoviti, ali se napaka izkorišča, je Horseman Horizon.ai razložil, kako prepoznati indikatorje ogroženosti (IoC) v okolju. "V C:Program Files (x86)FortinetFortiClientEMSlogs so različne dnevniške datoteke, ki jih je mogoče pregledati za povezave neprepoznanih odjemalcev ali druge zlonamerne dejavnosti," je zapisal. "Dnevnike MS SQL je mogoče pregledati tudi za dokaze o uporabi xp_cmdshell za pridobitev izvedbe ukaza."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack