อย่างที่คาดไว้, ผู้โจมตีทางไซเบอร์ได้โจมตี ในการเรียกใช้โค้ดระยะไกลที่สำคัญ (RCE) ช่องโหว่ใน Fortinet Enterprise Management Server (EMS) ซึ่งได้รับการแพตช์เมื่อสัปดาห์ที่แล้ว ทำให้สามารถรันโค้ดและคำสั่งต่างๆ โดยมีสิทธิ์ของผู้ดูแลระบบบนระบบที่ได้รับผลกระทบ
ข้อบกพร่องติดตามเป็น CVE-2024-48788 ด้วยคะแนนช่องโหว่-ความรุนแรง CVSS 9.3 จาก 10 คะแนน เป็นหนึ่งในสามที่หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) เพิ่มเข้ามาเมื่อวันที่ 25 มีนาคม แค็ตตาล็อกช่องโหว่ที่เป็นที่รู้จักซึ่งคอยติดตามช่องโหว่ด้านความปลอดภัยภายใต้การหาประโยชน์อย่างแข็งขัน ฟอร์ติเน็ตซึ่ง เตือนผู้ใช้ถึงข้อบกพร่อง เช่นเดียวกับแพตช์เมื่อต้นเดือนนี้ และยังอัปเดตอย่างเงียบ ๆ ด้วย ที่ปรึกษาด้านความปลอดภัย เพื่อสังเกตการแสวงหาผลประโยชน์
โดยเฉพาะอย่างยิ่ง พบข้อบกพร่องใน FortiClient EMS ซึ่งเป็นเวอร์ชัน VM ของคอนโซลการจัดการส่วนกลางของ FortiClient มันเกิดจาก ข้อผิดพลาดในการฉีด SQL ในส่วนประกอบหน่วยเก็บข้อมูลที่ต่อพ่วงโดยตรงของเซิร์ฟเวอร์ และถูกกระตุ้นโดยการสื่อสารระหว่างเซิร์ฟเวอร์และจุดสิ้นสุดที่ต่ออยู่
“การวางตัวเป็นกลางที่ไม่เหมาะสมขององค์ประกอบพิเศษที่ใช้ในคำสั่ง SQL … ช่องโหว่ [CWE-89] ใน FortiClientEMS อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถรันโค้ดหรือคำสั่งที่ไม่ได้รับอนุญาตผ่านคำขอที่สร้างขึ้นเป็นพิเศษ” ตามคำแนะนำของ Fortinet
การใช้ประโยชน์แบบพิสูจน์แนวคิดสำหรับ CVE-2024-48788
การใช้ประโยชน์จากข้อบกพร่องในปัจจุบันเกิดขึ้นหลังจากการเปิดตัวเมื่อสัปดาห์ที่แล้วของ การพิสูจน์แนวคิด (PoC) ใช้ประโยชน์จากโค้ดและการวิเคราะห์โดย นักวิจัยจาก Horizon.ai โดยระบุรายละเอียดว่าข้อบกพร่องสามารถนำไปใช้ประโยชน์ได้อย่างไร
นักวิจัยของ Horizon.ai ค้นพบว่าข้อบกพร่องอยู่ที่บริการหลักของเซิร์ฟเวอร์ที่รับผิดชอบในการสื่อสารกับไคลเอ็นต์ปลายทางที่ลงทะเบียนไว้ — FcmDaemon.exe — โต้ตอบกับไคลเอนต์เหล่านั้น ตามค่าเริ่มต้น บริการจะรับฟังพอร์ต 8013 สำหรับการเชื่อมต่อไคลเอนต์ขาเข้า ซึ่งนักวิจัยใช้ในการพัฒนา PoC
ส่วนประกอบอื่นๆ ของเซิร์ฟเวอร์ที่โต้ตอบกับบริการนี้คือเซิร์ฟเวอร์การเข้าถึงข้อมูล FCTDas.exe ซึ่งมีหน้าที่แปลคำขอจากส่วนประกอบเซิร์ฟเวอร์อื่นๆ ให้เป็นคำขอ SQL เพื่อโต้ตอบกับฐานข้อมูล Microsoft SQL Server
การใช้ประโยชน์จากข้อบกพร่องของ Fortinet
เพื่อใช้ประโยชน์จากข้อบกพร่องนี้ นักวิจัยของ Horizon.ai ได้กำหนดลักษณะการสื่อสารโดยทั่วไประหว่างไคลเอนต์และบริการ FcmDaemon โดยการกำหนดค่าตัวติดตั้งและปรับใช้ไคลเอนต์ปลายทางพื้นฐาน
“เราพบว่าการสื่อสารปกติระหว่างไคลเอนต์ปลายทางและ FcmDaemon.exe นั้นถูกเข้ารหัสด้วย TLS และดูเหมือนจะไม่มีวิธีง่ายๆ ในการทิ้งคีย์เซสชัน TLS เพื่อถอดรหัสการรับส่งข้อมูลที่ถูกต้อง” James Horseman ผู้พัฒนาช่องโหว่ Horizon.ai อธิบาย ในโพสต์
จากนั้นทีมงานได้รวบรวมรายละเอียดจากบันทึกของบริการเกี่ยวกับการสื่อสาร ซึ่งให้ข้อมูลแก่นักวิจัยเพียงพอที่จะเขียนสคริปต์ Python เพื่อสื่อสารกับ FcmDaemon หลังจากการลองผิดลองถูก ทีมงานสามารถตรวจสอบรูปแบบข้อความและเปิดใช้งาน “การสื่อสารที่มีความหมาย” กับบริการ FcmDaemon เพื่อทริกเกอร์การฉีด SQL Horseman เขียน
“เราสร้างเพย์โหลดการนอนหลับที่เรียบง่ายของแบบฟอร์ม ' และ 1=0; WAITFOR DELAY '00:00:10′ — '” เขาอธิบายในโพสต์ “เราสังเกตเห็นความล่าช้าในการตอบสนอง 10 วินาที และรู้ว่าเราได้กระตุ้นให้เกิดการโจมตี”
ในการเปลี่ยนช่องโหว่การฉีด SQL ให้เป็นการโจมตี RCE นักวิจัยได้ใช้ฟังก์ชัน xp_cmdshell ในตัวของ Microsoft SQL Server เพื่อสร้าง PoC ตามที่ Horseman กล่าว “เริ่มแรก ฐานข้อมูลไม่ได้รับการกำหนดค่าให้รันคำสั่ง xp_cmdshell; อย่างไรก็ตาม มันถูกเปิดใช้งานเล็กน้อยกับคำสั่ง SQL อื่นๆ สองสามรายการ” เขาเขียน
สิ่งสำคัญที่ควรทราบก็คือ PoC จะยืนยันช่องโหว่โดยใช้การฉีด SQL แบบง่าย ๆ โดยไม่มี xp_cmdshell เท่านั้น เพื่อให้ผู้โจมตีเปิดใช้งาน RCE ได้ จะต้องแก้ไข PoC” Horseman กล่าวเสริม
การโจมตีทางไซเบอร์เพิ่มสูงขึ้นใน Fortinet; แพทช์ตอนนี้
ข้อบกพร่องของ Fortinet เป็นเป้าหมายยอดนิยม สำหรับผู้โจมตี เช่น Chris Boyd วิศวกรวิจัยพนักงานของบริษัทรักษาความปลอดภัย Tenable เตือนในคำแนะนำของเขา เกี่ยวกับข้อบกพร่องที่เผยแพร่ครั้งแรกเมื่อวันที่ 14 มีนาคม เขายกตัวอย่างข้อบกพร่องอื่นๆ ของ Fortinet หลายประการ เช่น CVE-2023-27997, ช่องโหว่บัฟเฟอร์โอเวอร์โฟลว์แบบฮีปที่สำคัญในผลิตภัณฑ์ Fortinet หลายรายการ และ CVE-2022-40684, ข้อบกพร่องการบายพาสการรับรองความถูกต้องในเทคโนโลยี FortiOS, FortiProxy และ FortiSwitch Manager — นั่นคือ ถูกเอารัดเอาเปรียบโดยผู้แสดงภัยคุกคาม. ในความเป็นจริง ข้อผิดพลาดหลังนี้ถูกขายด้วยซ้ำเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบได้เบื้องต้น
“เมื่อมีการเผยแพร่โค้ดช่องโหว่และการละเมิดข้อบกพร่องของ Fortinet ในอดีตโดยผู้คุกคามรวมถึง ผู้แสดงภัยคุกคามต่อเนื่องขั้นสูง (APT) และกลุ่มรัฐชาติ เราขอแนะนำอย่างยิ่งให้แก้ไขช่องโหว่นี้โดยเร็วที่สุด” บอยด์เขียนในการอัปเดตคำแนะนำของเขาหลังจากการเปิดตัว Horizon.ai
Fortinet และ CISA ยังเรียกร้องให้ลูกค้าที่ไม่ได้ใช้หน้าต่างแห่งโอกาสระหว่างการให้คำปรึกษาเบื้องต้นและการเปิดเผยช่องโหว่ PoC เพื่อ เซิร์ฟเวอร์แพทช์ เสี่ยงต่อข้อบกพร่องล่าสุดนี้ทันที
เพื่อช่วยให้องค์กรต่างๆ ระบุว่าข้อบกพร่องดังกล่าวอยู่ภายใต้การแสวงหาประโยชน์หรือไม่ Horseman จาก Horizon.ai ได้อธิบายวิธีระบุตัวบ่งชี้การประนีประนอม (IoC) ในสภาพแวดล้อม “มีไฟล์บันทึกต่างๆ ใน C:Program Files (x86)FortinetFortiClientEMSlogs ที่สามารถตรวจสอบการเชื่อมต่อจากไคลเอนต์ที่ไม่รู้จักหรือกิจกรรมที่เป็นอันตรายอื่นๆ” เขาเขียน “บันทึก MS SQL ยังสามารถตรวจสอบเพื่อหาหลักฐานของ xp_cmdshell ที่ถูกใช้เพื่อรับการดำเนินการคำสั่ง”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
