Як і очікувалося, кібератаки напали на критичному віддаленому виконанні коду (RCE) уразливість у Fortinet Enterprise Management Server (EMS) який було виправлено минулого тижня, дозволяючи їм виконувати довільний код і команди з правами системного адміністратора в уражених системах.

Недолік, відстежений як CVE-2024-48788 з оцінкою серйозності вразливості CVSS 9.3 з 10, був одним із трьох, які Агентство з кібербезпеки та безпеки інфраструктури (CISA) 25 березня додало до своїх Каталог відомих використаних уразливостей, який відстежує вразливості системи безпеки під час активного використання. Фортінет, який попередив користувачів про недолік а також виправлено його на початку цього місяця, а також тихо оновлено його консультування з питань безпеки відзначити його експлуатацію.

Зокрема, недолік виявлено у FortiClient EMS, версії віртуальної машини центральної консолі керування FortiClient. Це походить від an Помилка ін'єкції SQL у компоненті зберігання даних із прямим підключенням сервера та стимулюється зв’язком між сервером і підключеними до нього кінцевими точками.

«Неналежна нейтралізація спеціальних елементів, які використовуються в команді SQL… уразливості [CWE-89] у FortiClientEMS, може дозволити неавтентифікованому зловмиснику виконати неавторизований код або команди за допомогою спеціально створених запитів», — йдеться в повідомленні Fortinet.

Експлойт підтвердження концепції для CVE-2024-48788

Поточне використання недоліку відбулося після випуску минулого тижня a підтвердження концепції (PoC) код використання, а також аналіз дослідники Horizon.ai детально описано, як можна використати недолік.

Дослідники Horizon.ai виявили, що недолік полягає в тому, як основна служба сервера, відповідальна за зв’язок із зареєстрованими кінцевими клієнтами — FcmDaemon.exe — взаємодіє з цими клієнтами. За замовчуванням служба прослуховує порт 8013 для вхідних підключень клієнтів, які дослідники використовували для розробки PoC.

Інші компоненти сервера, які взаємодіють із цією службою, — це сервер доступу до даних FCTDas.exe, який відповідає за переклад запитів від різних інших компонентів сервера в запити SQL для подальшої взаємодії з базою даних Microsoft SQL Server.

Використання недоліку Fortinet

Щоб використати недолік, дослідники Horizon.ai спочатку визначили, як має виглядати типовий зв’язок між клієнтом і службою FcmDaemon, налаштувавши програму встановлення та розгорнувши базовий клієнт кінцевої точки.

«Ми виявили, що звичайний зв’язок між клієнтом кінцевої точки та FcmDaemon.exe шифрується за допомогою TLS, і, здається, не існує простого способу скинути ключі сеансу TLS для дешифрування законного трафіку», — пояснив розробник експлойту Horizon.ai Джеймс Хорсман. в пост.

Потім команда зібрала деталі з журналу служби про зв’язок, що дало дослідникам достатньо інформації для написання сценарію Python для зв’язку з FcmDaemon. Після деяких проб і помилок команда змогла вивчити формат повідомлення та ввімкнути «значущий зв’язок» зі службою FcmDaemon, щоб запустити впровадження SQL, написав Horseman.

«Ми створили просте корисне навантаження для сну форми ' І 1=0; ЧЕКАЙТЕ ЗАТРИМКУ '00:00:10′ — '», — пояснив він у дописі. «Ми помітили 10-секундну затримку відповіді та знали, що запустили експлойт».

Щоб перетворити цю вразливість SQL-ін’єкцій на RCE-атаку, дослідники використали вбудовану функціональність xp_cmdshell Microsoft SQL Server для створення PoC, повідомляє Horseman. «Спочатку база даних не була налаштована на виконання команди xp_cmdshell; однак це було тривіально включено за допомогою кількох інших операторів SQL», — написав він.

Важливо зазначити, що PoC лише підтверджує вразливість за допомогою простого впровадження SQL без xp_cmdshell; щоб зловмисник увімкнув RCE, PoC має бути змінено, додав Вершник.

Кібератаки наростають на Fortinet; Патч зараз

Помилки Fortinet є популярними цілями для нападників, як Кріс Бойд, штатний інженер-дослідник охоронної фірми Тенабл попередив у своїй пораді про недолік, спочатку опублікований 14 березня. Він навів як приклад кілька інших недоліків Fortinet, таких як CVE-2023-27997, критична вразливість переповнення буфера на основі купи в кількох продуктах Fortinet, а також CVE-2022-40684, помилка обходу автентифікації в технологіях FortiOS, FortiProxy і FortiSwitch Manager — які були використовуються зловмисниками. Фактично останню помилку навіть продавали з метою надання зловмисникам початкового доступу до систем.

«Оскільки було випущено код експлойту, і в тому числі зловживачі Fortinet зловживали недоліками розширені актори постійної загрози (APT). і груп національних держав, ми настійно рекомендуємо усунути цю вразливість якомога швидше», – написав Бойд в оновленому пораді після випуску Horizon.ai.

Fortinet і CISA також закликають клієнтів, які не використали вікно можливостей між початковою консультацією та випуском експлойта PoC, сервери виправлень негайно вразливі до цієї останньої вади.

Щоб допомогти організаціям визначити, чи використовується недолік, Вершник Horizon.ai пояснив, як визначити індикатори компрометації (IoC) у середовищі. «У C:Program Files (x86)FortinetFortiClientEMSlogs є різні файли журналів, які можна перевірити на наявність підключень від нерозпізнаних клієнтів або іншої зловмисної активності», — написав він. «Журнали MS SQL також можна перевірити на докази використання xp_cmdshell для виконання команд».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack