Som förväntat, cyberangripare har slagit till på en kritisk fjärrkodexekvering (RCE) sårbarhet i Fortinet Enterprise Management Server (EMS) som korrigerades förra veckan, vilket gjorde det möjligt för dem att exekvera godtycklig kod och kommandon med systemadministratörsbehörighet på berörda system.
Felet, spåras som CVE-2024-48788 med 9.3 av 10 CVSS-sårbarhets-allvarlighetspoäng, var en av tre som Cybersecurity and Infrastructure Security Agency (CISA) den 25 mars lade till sin Katalog för kända exploaterade sårbarheter, som håller reda på säkerhetsbrister under aktiv exploatering. Fortinet, som varnade användarna för felet samt lappade det tidigare denna månad, uppdaterade också tyst dess säkerhetsrådgivande att notera dess utnyttjande.
Specifikt finns bristen i FortiClient EMS, VM-versionen av FortiClients centrala hanteringskonsol. Det härrör från en SQL-injektionsfel i en direktansluten lagringskomponent på servern och sporras av kommunikation mellan servern och slutpunkter som är anslutna till den.
"En felaktig neutralisering av specialelement som används i en SQL-kommando ... sårbarhet [CWE-89] i FortiClientEMS kan tillåta en oautentiserad angripare att exekvera oauktoriserad kod eller kommandon via specifikt utformade förfrågningar", enligt Fortinets råd.
Proof-of-Concept Exploit för CVE-2024-48788
Det aktuella utnyttjandet av bristen följer på släppet förra veckan av en proof-of-concept (PoC) utnyttja kod samt en analys av forskare på Horizon.ai beskriver hur felet kan utnyttjas.
Horizon.ai-forskare upptäckte att felet ligger i hur serverns huvudsakliga tjänst som är ansvarig för att kommunicera med registrerade slutpunktsklienter – FcmDaemon.exe – interagerar med dessa klienter. Som standard lyssnar tjänsten på port 8013 efter inkommande klientanslutningar, som forskarna använde för att utveckla PoC.
Andra komponenter på servern som interagerar med denna tjänst är en dataåtkomstserver, FCTDas.exe, som ansvarar för att översätta förfrågningar från olika andra serverkomponenter till SQL-förfrågningar för att sedan interagera med Microsoft SQL Server-databasen.
Utnyttja Fortinet-bristen
För att kunna utnyttja felet, fastställde Horizon.ai-forskare först hur typisk kommunikation mellan en klient och FcmDaemon-tjänsten ska se ut genom att konfigurera ett installationsprogram och distribuera en grundläggande slutpunktsklient.
"Vi fann att normal kommunikation mellan en slutpunktsklient och FcmDaemon.exe är krypterad med TLS, och det verkade inte finnas något enkelt sätt att dumpa TLS-sessionsnycklar för att dekryptera den legitima trafiken," förklarade Horizon.ai-utvecklaren James Horseman. i posten.
Teamet hämtade sedan detaljer från tjänstens logg om kommunikationen, vilket gav forskarna tillräckligt med information för att skriva ett Python-skript för att kommunicera med FcmDaemon. Efter lite försök och misstag kunde teamet undersöka meddelandeformatet och möjliggöra "meningsfull kommunikation" med FcmDaemon-tjänsten för att utlösa en SQL-injektion, skrev Horseman.
"Vi konstruerade en enkel sömnnyttolast av formen ' OCH 1=0; WAITFOR DELAY '00:00:10′ — '," förklarade han i inlägget. "Vi märkte den 10 sekunder långa förseningen som svar och visste att vi hade utlöst utnyttjandet."
För att förvandla denna SQL-injektionssårbarhet till en RCE-attack använde forskarna den inbyggda xp_cmdshell-funktionen i Microsoft SQL Server för att skapa PoC, enligt Horseman. "Initialt var databasen inte konfigurerad för att köra kommandot xp_cmdshell; men det var trivialt aktiverat med några andra SQL-satser”, skrev han.
Det är viktigt att notera att PoC endast bekräftar sårbarheten genom att använda en enkel SQL-injektion utan xp_cmdshell; för att en angripare ska aktivera RCE måste PoC ändras, tillade Horseman.
Cyberattacker ökar på Fortinet; Patcha nu
Fortinet-buggar är populära mål för angripare, som Chris Boyd, personalforskningsingenjör på säkerhetsföretaget Tenable varnade i sitt råd om felet som ursprungligen publicerades den 14 mars. Han nämnde som exempel flera andra Fortinet-brister - som t.ex. CVE-2023-27997, en kritisk heap-baserad buffertspillsårbarhet i flera Fortinet-produkter, och CVE-2022-40684, ett autentiseringsförbikopplingsfel i FortiOS-, FortiProxy- och FortiSwitch Manager-teknologier – som var utnyttjas av hotaktörer. I själva verket såldes det sistnämnda felet till och med i syfte att ge angripare initial tillgång till system.
"Eftersom exploateringskoden har släppts och med tidigare missbruk av Fortinet-brister av hotaktörer, inklusive avancerade persistent hot (APT) aktörer och nationalstatsgrupper rekommenderar vi starkt att åtgärda denna sårbarhet så snart som möjligt”, skrev Boyd i en uppdatering till sitt råd efter Horizon.ai-releasen.
Fortinet och CISA uppmanar också kunder som inte utnyttjade möjligheten mellan den första rådgivningen och lanseringen av PoC-exploateringen att patchservrar sårbara för detta senaste fel omedelbart.
För att hjälpa organisationer att identifiera om bristen är under exploatering, förklarade Horizon.ai's Horseman hur man identifierar indikatorer på kompromisser (IoCs) i en miljö. "Det finns olika loggfiler i C:Program Files (x86)FortinetFortiClientEMSlogs som kan undersökas för anslutningar från okända klienter eller annan skadlig aktivitet", skrev han. "MS SQL-loggarna kan också undersökas för bevis på att xp_cmdshell används för att få kommandoexekvering."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
