Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Vá ngay: Lỗi RCE nghiêm trọng của Fortinet đang bị tấn công tích cực

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 98

Như mong đợi, những kẻ tấn công mạng đã tấn công về thực thi mã từ xa quan trọng (RCE) lỗ hổng trong Máy chủ quản lý doanh nghiệp Fortinet (EMS) đã được vá vào tuần trước, cho phép họ thực thi mã và lệnh tùy ý với đặc quyền quản trị viên hệ thống trên các hệ thống bị ảnh hưởng.

Lỗ hổng, được theo dõi là CVE-2024-48788 với điểm 9.3 trên 10 CVSS về mức độ nghiêm trọng của lỗ hổng, là một trong ba điểm được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) bổ sung vào ngày 25 tháng XNUMX. Danh mục các lỗ hổng được khai thác đã biết, theo dõi các lỗ hổng bảo mật đang được khai thác tích cực. Fortinet, trong đó cảnh báo người dùng về lỗ hổng cũng như vá nó vào đầu tháng này, cũng lặng lẽ cập nhật nó tư vấn bảo mật lưu ý việc khai thác nó.

Cụ thể, lỗ hổng được tìm thấy trong FortiClient EMS, phiên bản VM của bảng điều khiển quản lý trung tâm của FortiClient. Nó bắt nguồn từ một Lỗi chèn SQL trong thành phần lưu trữ được gắn trực tiếp của máy chủ và được thúc đẩy bởi hoạt động liên lạc giữa máy chủ và các điểm cuối được gắn vào nó.

Theo lời khuyên của Fortinet, “Việc vô hiệu hóa không đúng các phần tử đặc biệt được sử dụng trong Lệnh SQL… lỗ hổng [CWE-89] trong FortiClientEMS có thể cho phép kẻ tấn công không được xác thực thực thi mã hoặc lệnh trái phép thông qua các yêu cầu được tạo cụ thể”.

Khai thác bằng chứng khái niệm cho CVE-2024-48788

Việc khai thác lỗ hổng hiện tại diễn ra sau khi một bản cập nhật được phát hành vào tuần trước. bằng chứng về khái niệm (PoC) khai thác mã cũng như phân tích bằng các nhà nghiên cứu tại Horizon.ai chi tiết cách khai thác lỗ hổng.

Các nhà nghiên cứu của Horizon.ai đã phát hiện ra rằng lỗ hổng nằm ở cách dịch vụ chính của máy chủ chịu trách nhiệm liên lạc với các máy khách điểm cuối đã đăng ký – FcmDaemon.exe – tương tác với các máy khách đó. Theo mặc định, dịch vụ lắng nghe cổng 8013 đối với các kết nối máy khách đến mà các nhà nghiên cứu đã sử dụng để phát triển PoC.

Các thành phần khác của máy chủ tương tác với dịch vụ này là máy chủ truy cập dữ liệu, FCTDas.exe, chịu trách nhiệm dịch các yêu cầu từ nhiều thành phần máy chủ khác thành các yêu cầu SQL để sau đó tương tác với cơ sở dữ liệu Microsoft SQL Server.

Khai thác lỗ hổng Fortinet

Để khai thác lỗ hổng, các nhà nghiên cứu của Horizon.ai trước tiên đã thiết lập giao tiếp điển hình giữa máy khách và dịch vụ FcmDaemon sẽ trông như thế nào bằng cách định cấu hình trình cài đặt và triển khai máy khách điểm cuối cơ bản.

James Horseman, nhà phát triển khai thác Horizon.ai, giải thích: “Chúng tôi nhận thấy rằng các giao tiếp thông thường giữa máy khách điểm cuối và FcmDaemon.exe được mã hóa bằng TLS và dường như không có cách nào dễ dàng để kết xuất các khóa phiên TLS để giải mã lưu lượng truy cập hợp pháp”. trong bài viết.

Sau đó, nhóm thu thập thông tin chi tiết từ nhật ký của dịch vụ về các hoạt động liên lạc, cung cấp cho các nhà nghiên cứu đủ thông tin để viết một tập lệnh Python nhằm liên lạc với FcmDaemon. Horseman viết: Sau một số thử nghiệm và sai sót, nhóm đã có thể kiểm tra định dạng tin nhắn và kích hoạt “giao tiếp có ý nghĩa” với dịch vụ FcmDaemon để kích hoạt thao tác chèn SQL.

“Chúng tôi đã xây dựng một tải trọng giấc ngủ đơn giản có dạng ' VÀ 1=0; CHỜ TRÌ HOÃN '00:00:10′ — ',” anh giải thích trong bài đăng. “Chúng tôi nhận thấy phản hồi chậm 10 giây và biết rằng chúng tôi đã kích hoạt hoạt động khai thác”.

Theo Horseman, để biến lỗ hổng SQL SQL này thành một cuộc tấn công RCE, các nhà nghiên cứu đã sử dụng chức năng xp_cmdshell tích hợp của Microsoft SQL Server để tạo PoC. “Ban đầu, cơ sở dữ liệu không được cấu hình để chạy lệnh xp_cmdshell; tuy nhiên, nó chỉ được kích hoạt một cách đơn giản bằng một vài câu lệnh SQL khác,” ông viết.

Điều quan trọng cần lưu ý là PoC chỉ xác nhận lỗ hổng bằng cách sử dụng lệnh SQL đơn giản không có xp_cmdshell; Horseman cho biết thêm, để kẻ tấn công kích hoạt RCE, PoC phải được thay đổi.

Các cuộc tấn công mạng gia tăng trên Fortinet; Vá ngay bây giờ

Lỗi Fortinet là mục tiêu phổ biến cho những kẻ tấn công, như Chris Boyd, kỹ sư nghiên cứu nhân viên tại công ty bảo mật Tenable đã cảnh báo trong lời khuyên của mình về lỗ hổng được công bố lần đầu vào ngày 14 tháng XNUMX. Ông đã trích dẫn một số lỗ hổng khác của Fortinet làm ví dụ - chẳng hạn như CVE-2023-27997, lỗ hổng tràn bộ đệm dựa trên heap nghiêm trọng trong nhiều sản phẩm của Fortinet và CVE-2022-40684, một lỗ hổng bỏ qua xác thực trong các công nghệ FortiOS, FortiProxy và FortiSwitch Manager - đó là bị khai thác bởi các tác nhân đe dọa. Trên thực tế, lỗi thứ hai thậm chí còn được bán với mục đích cấp cho kẻ tấn công quyền truy cập ban đầu vào hệ thống.

“Vì mã khai thác đã được phát hành và trước đây các tác nhân đe dọa đã lạm dụng các lỗ hổng Fortinet, bao gồm cả Tác nhân đe dọa liên tục nâng cao (APT) và các nhóm quốc gia, chúng tôi thực sự khuyên bạn nên khắc phục lỗ hổng này càng sớm càng tốt,” Boyd viết trong bản cập nhật cho lời khuyên của mình sau khi Horizon.ai phát hành.

Fortinet và CISA cũng đang kêu gọi những khách hàng không tận dụng cơ hội giữa thời điểm tư vấn ban đầu cho đến khi phát hành khai thác PoC hãy vá máy chủ dễ bị tổn thương trước lỗ hổng mới nhất này ngay lập tức.

Để giúp các tổ chức xác định xem lỗ hổng có đang bị khai thác hay không, Horseman của Horizon.ai đã giải thích cách xác định các dấu hiệu cho thấy sự xâm phạm (IoC) trong một môi trường. Ông viết: “Có nhiều tệp nhật ký khác nhau trong nhật ký C:Program Files (x86)FortinetFortiClientEMS có thể được kiểm tra để tìm các kết nối từ các máy khách không được nhận dạng hoặc hoạt động độc hại khác”. “Nhật ký MS SQL cũng có thể được kiểm tra để tìm bằng chứng về việc xp_cmdshell được sử dụng để thực thi lệnh.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.