Beklenildiği gibi, Siber saldırganlar saldırdı kritik bir uzaktan kod yürütmede (RCE) Fortinet Enterprise Management Server'daki (EMS) güvenlik açığı Bu, geçen hafta yamalanarak etkilenen sistemlerde sistem yöneticisi ayrıcalıklarıyla isteğe bağlı kod ve komutlar yürütmelerine olanak tanıdı.
Kusur, olarak izlendi CVE-2024-48788 9.3 üzerinden 10 CVSS güvenlik açığı ciddiyet puanına sahip olan bu saldırı, Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) 25 Mart'ta portföyüne eklediği üç kişiden biriydi. Bilinen Sömürülen Güvenlik Açıkları KataloğuAktif istismar sırasındaki güvenlik açıklarını takip eden. Fortinet, kullanıcıları kusur konusunda uyardı bu ayın başlarında yamalamanın yanı sıra sessizce güncellendi güvenlik danışma sömürülmesine dikkat çekmek için.
Özellikle kusur, FortiClient'in merkezi yönetim konsolunun VM sürümü olan FortiClient EMS'de bulunuyor. Birinden kaynaklanıyor SQL enjeksiyon hatası sunucunun doğrudan bağlı bir depolama bileşeninde bulunur ve sunucu ile ona bağlı uç noktalar arasındaki iletişimler tarafından teşvik edilir.
Fortinet'in tavsiyesine göre, "FortiClientEMS'teki bir SQL Komutunda kullanılan özel öğelerin uygunsuz bir şekilde etkisiz hale getirilmesi ... güvenlik açığı [CWE-89], kimliği doğrulanmamış bir saldırganın özel hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine izin verebilir."
CVE-2024-48788 için Kavram Kanıtı İstismarı
Kusurun şu anki kullanımı, geçen hafta yayınlanan bir kavram kanıtı (PoC) yararlanma kodunun yanı sıra bir analiz tarafından Horizon.ai'deki araştırmacılar kusurun nasıl istismar edilebileceğini ayrıntılarıyla anlatıyor.
Horizon.ai araştırmacıları kusurun, sunucunun kayıtlı uç nokta istemcileriyle iletişimden sorumlu ana hizmeti olan FcmDaemon.exe'nin bu istemcilerle nasıl etkileşimde bulunduğunda yattığını keşfetti. Hizmet, varsayılan olarak araştırmacıların PoC'yi geliştirmek için kullandığı, gelen istemci bağlantıları için 8013 numaralı bağlantı noktasını dinler.
Sunucunun bu hizmetle etkileşime giren diğer bileşenleri, çeşitli diğer sunucu bileşenlerinden gelen istekleri SQL isteklerine dönüştürmekten ve daha sonra Microsoft SQL Server veritabanıyla etkileşim kurmaktan sorumlu olan FCTDas.exe adlı veri erişim sunucusudur.
Fortinet Kusurundan Yararlanmak
Horizon.ai araştırmacıları, kusurdan yararlanmak için öncelikle bir istemci ile FcmDaemon hizmeti arasındaki tipik iletişimin nasıl görünmesi gerektiğini bir yükleyici yapılandırarak ve temel bir uç nokta istemcisi dağıtarak belirledi.
Horizon.ai istismar geliştiricisi James Horseman, "Bir uç nokta istemcisi ile FcmDaemon.exe arasındaki normal iletişimin TLS ile şifrelendiğini bulduk ve meşru trafiğin şifresini çözmek için TLS oturum anahtarlarını boşaltmanın kolay bir yolu yok gibi görünüyor" dedi. yazıda.
Ekip daha sonra hizmetin günlüğünden iletişimle ilgili ayrıntıları topladı; bu, araştırmacılara FcmDaemon ile iletişim kurmak için bir Python betiği yazmaları için yeterli bilgi sağladı. Horseman, bir miktar deneme yanılma sonrasında ekibin mesaj formatını inceleyebildiğini ve bir SQL enjeksiyonunu tetiklemek için FcmDaemon hizmetiyle "anlamlı iletişimi" etkinleştirebildiğini yazdı.
"Formun basit bir uyku yükünü oluşturduk ' VE 1=0; GECİKMEYİ BEKLEYİN '00:00:10' — '," diye açıkladı paylaşımında. "Yanıt olarak 10 saniyelik gecikmeyi fark ettik ve istismarı tetiklediğimizi biliyorduk."
Horseman'a göre araştırmacılar, bu SQL enjeksiyon güvenlik açığını bir RCE saldırısına dönüştürmek için Microsoft SQL Server'ın yerleşik xp_cmdshell işlevini kullanarak PoC'yi oluşturdu. “Başlangıçta veritabanı xp_cmdshell komutunu çalıştıracak şekilde yapılandırılmadı; ancak diğer birkaç SQL ifadesiyle önemsiz bir şekilde etkinleştirildi" diye yazdı.
PoC'nin güvenlik açığını yalnızca xp_cmdshell olmadan basit bir SQL enjeksiyonu kullanarak doğruladığını unutmamak önemlidir; Horseman, bir saldırganın RCE'yi etkinleştirebilmesi için PoC'nin değiştirilmesi gerektiğini ekledi.
Fortinet'te Siber Saldırılar Artıyor; Hemen Yama Yapın
Fortinet hataları popüler hedeflerdir saldırganlar için, güvenlik firmasında personel araştırma mühendisi olan Chris Boyd rolünde Tenable tavsiyesinde uyardı İlk olarak 14 Mart'ta yayınlanan kusur hakkında. Örnek olarak diğer birkaç Fortinet kusurunu gösterdi. CVE-2023-27997, birden fazla Fortinet ürününde kritik bir yığın tabanlı arabellek taşması güvenlik açığı ve CVE-2022-40684, FortiOS, FortiProxy ve FortiSwitch Manager teknolojilerindeki kimlik doğrulama atlama hatası Tehdit aktörleri tarafından istismar ediliyor. Aslında ikinci hata, saldırganların sistemlere ilk erişimini sağlamak amacıyla bile satılmıştı.
“Kötüye kullanım kodu yayınlandıktan ve Fortinet kusurlarının geçmişte de dahil olmak üzere tehdit aktörleri tarafından kötüye kullanılmasından dolayı gelişmiş kalıcı tehdit (APT) aktörleri Boyd, Horizon.ai'nin yayınlanmasının ardından tavsiye niteliğindeki bir güncellemede şöyle yazdı:
Fortinet ve CISA ayrıca, ilk danışma ile PoC istismarının yayınlanması arasındaki fırsat penceresini kullanmayan müşterilere de şu çağrıyı yapıyor: yama sunucuları bu son kusura karşı anında savunmasızdır.
Horizon.ai'den Horseman, kuruluşların kusurun kötüye kullanım altında olup olmadığını tespit etmelerine yardımcı olmak için bir ortamdaki risk göstergelerinin (IoC'ler) nasıl tanımlanacağını açıkladı. "C:Program Files (x86)FortinetFortiClientEMSlogs'ta, tanınmayan istemcilerden gelen bağlantılar veya diğer kötü amaçlı etkinlikler açısından incelenebilecek çeşitli günlük dosyaları var" diye yazdı. "MS SQL günlükleri, komut yürütmeyi elde etmek için kullanılan xp_cmdshell'in kanıtı açısından da incelenebilir."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
