Bi o ti ṣe yẹ, cyberattackers ti pounced lori ipaniyan koodu isakoṣo latọna jijin kan (RCE) ailagbara ninu olupin Isakoso Idawọlẹ Fortinet (EMS) ti o jẹ patched ni ọsẹ to kọja, gbigba wọn laaye lati ṣiṣẹ koodu lainidii ati awọn aṣẹ pẹlu awọn anfani abojuto eto lori awọn eto ti o kan.
Awọn abawọn, tọpinpin bi CVE-2024-48788 pẹlu 9.3 ninu 10 CVSS ailagbara-idiwọn, jẹ ọkan ninu mẹta ti Cybersecurity ati Aabo Aabo Awọn amayederun (CISA) ni Oṣu Kẹta Ọjọ 25 ṣafikun si rẹ Katalogi ti a mọ nilokulo Vulnerabilities, eyiti o tọju abala awọn ailagbara aabo labẹ ilokulo lọwọ. Fortinet, eyi ti kilo awọn olumulo ti abawọn bi daradara bi patched o sẹyìn yi osù, tun laiparuwo imudojuiwọn awọn oniwe- aabo Advisory lati ṣe akiyesi ilokulo rẹ.
Ni pataki, abawọn naa wa ni FortiClient EMS, ẹya VM ti console iṣakoso aarin ti FortiClient. O jeyo lati ẹya SQL abẹrẹ aṣiṣe ni paati ibi ipamọ ti o somọ taara ti olupin ati pe o ni itara nipasẹ awọn ibaraẹnisọrọ laarin olupin ati awọn aaye ipari ti o somọ.
“Yiyọkuro aibojumu ti awọn eroja pataki ti a lo ninu aṣẹ SQL… ailagbara [CWE-89] ni FortiClientEMS le gba apaniyan laigba aṣẹ lati ṣiṣẹ koodu laigba aṣẹ tabi awọn aṣẹ nipasẹ awọn ibeere ti a ṣe ni pato,” ni ibamu si imọran Fortinet.
Imudaniloju-Erongba nilokulo fun CVE-2024-48788
Iwa ilokulo lọwọlọwọ ti abawọn naa tẹle itusilẹ ni ọsẹ to kọja ti a ẹri-ti-ero (PoC) lo nilokulo koodu bi daradara bi ohun onínọmbà nipa oluwadi ni Horizon.ai ṣe apejuwe bi a ṣe le lo abawọn naa.
Awọn oniwadi Horizon.ai ṣe awari pe abawọn naa wa ni bii iṣẹ akọkọ olupin ti o ni iduro fun sisọ pẹlu awọn alabara opin opin - FcmDaemon.exe - ṣe ajọṣepọ pẹlu awọn alabara wọnyẹn. Nipa aiyipada, iṣẹ naa ngbọ lori ibudo 8013 fun awọn asopọ alabara ti nwọle, eyiti awọn oniwadi lo lati ṣe agbekalẹ PoC naa.
Awọn paati miiran ti olupin ti o nlo pẹlu iṣẹ yii jẹ olupin wiwọle data, FCTDas.exe, eyiti o jẹ iduro fun titumọ awọn ibeere lati oriṣiriṣi awọn paati olupin miiran sinu awọn ibeere SQL lati lẹhinna ṣe ajọṣepọ pẹlu data Microsoft SQL Server.
Lilo nilokulo abawọn Fortinet
Lati lọ nipa ilokulo abawọn naa, awọn oniwadi Horizon.ai kọkọ ṣeto kini awọn ibaraẹnisọrọ aṣoju laarin alabara kan ati iṣẹ FcmDaemon yẹ ki o dabi nipa tito atunto insitola kan ati gbigbe alabara opin opin ipilẹ kan.
“A rii pe awọn ibaraẹnisọrọ deede laarin alabara ipari ati FcmDaemon.exe jẹ fifi ẹnọ kọ nkan pẹlu TLS, ati pe ko dabi pe ọna ti o rọrun lati da awọn bọtini igba TLS silẹ lati dinku ijabọ abẹlẹ,” Horizon.ai lo nilokulo olupilẹṣẹ James Horseman salaye. ninu ifiweranṣẹ.
Ẹgbẹ naa lẹhinna ṣajọ awọn alaye lati inu akọọlẹ iṣẹ naa nipa awọn ibaraẹnisọrọ, eyiti o pese alaye ti o to fun awọn oniwadi lati kọ iwe afọwọkọ Python kan lati ṣe ibasọrọ pẹlu FcmDaemon. Lẹhin diẹ ninu awọn idanwo ati aṣiṣe, ẹgbẹ naa ni anfani lati ṣayẹwo ọna kika ifiranṣẹ ati ki o mu "ibaraẹnisọrọ ti o ni imọran" ṣiṣẹ pẹlu iṣẹ FcmDaemon lati fa abẹrẹ SQL kan, Horseman kowe.
“A ṣe ẹru isanwo oorun ti o rọrun ti fọọmu naa 'ATI 1=0; Dúró Dúró '00:00:10' - '," o salaye ninu ifiweranṣẹ. “A ṣe akiyesi idaduro iṣẹju-aaya 10 ni idahun ati mọ pe a ti fa ilokulo naa.”
Lati yi ailagbara abẹrẹ SQL yii sinu ikọlu RCE, awọn oniwadi lo iṣẹ ṣiṣe xp_cmdshell ti Microsoft SQL Server lati ṣẹda PoC, ni ibamu si Horseman. “Ni ibẹrẹ, data ko ni tunto lati ṣiṣẹ pipaṣẹ xp_cmdshell; sibẹsibẹ, o ti ṣiṣẹ ni iwọntunwọnsi pẹlu awọn alaye SQL diẹ miiran,” o kọwe.
O ṣe pataki lati ṣe akiyesi pe PoC nikan jẹrisi ailagbara nipa lilo abẹrẹ SQL ti o rọrun laisi xp_cmdshell; fun ikọlu lati mu RCE ṣiṣẹ, PoC gbọdọ yipada, Fikun Horseman.
Cyberattacks Ramp Up lori Fortinet; Patch Bayi
Awọn idun Fortinet jẹ awọn ibi-afẹde olokiki fun attackers, bi Chris Boyd, osise iwadi ẹlẹrọ ni aabo duro Tenable kilo ninu rẹ Advisory nipa abawọn akọkọ ti a tẹjade ni Oṣu Kẹta Ọjọ 14. O tọka si bi apẹẹrẹ ọpọlọpọ awọn abawọn Fortinet miiran - gẹgẹbi - CVE-2023-27997, aponle-orisun saarin aponsedanu ailagbara ni ọpọ Fortinet awọn ọja, ati - CVE-2022-40684, Ijeri fori abawọn ni FortiOS, FortiProxy, ati FortiSwitch Manager Manager - ti o wà yanturu nipasẹ awọn olukopa irokeke. Ni otitọ, kokoro ti o kẹhin paapaa ti ta fun idi ti fifun awọn ikọlu ni iraye si ni ibẹrẹ si awọn eto.
“Bi koodu ilokulo ti tu silẹ ati pẹlu ilokulo awọn abawọn Fortinet ti o kọja nipasẹ awọn oṣere irokeke, pẹlu to ti ni ilọsiwaju jubẹẹlo irokeke (APT) olukopa ati awọn ẹgbẹ orilẹ-ede, a ṣeduro gaan lati ṣe atunṣe ailagbara yii ni kete bi o ti ṣee,” Boyd kowe ni imudojuiwọn kan si imọran rẹ lẹhin itusilẹ Horizon.ai.
Fortinet ati CISA tun n rọ awọn alabara ti ko lo window ti aye laarin imọran akọkọ ati itusilẹ ti PoC nilokulo si alemo apèsè jẹ ipalara si abawọn tuntun yii lẹsẹkẹsẹ.
Lati ṣe iranlọwọ fun awọn ile-iṣẹ idanimọ boya abawọn naa wa labẹ ilokulo, Horizon.ai's Horseman ṣe alaye bi o ṣe le ṣe idanimọ awọn afihan ti adehun (IoCs) ni agbegbe kan. "Awọn faili log orisirisi wa ni C: Awọn faili eto (x86) FortinetFortiClientEMSlogs ti o le ṣe ayẹwo fun awọn asopọ lati ọdọ awọn onibara ti a ko mọ tabi awọn iṣẹ irira miiran," o kọwe. "Awọn akọọlẹ MS SQL tun le ṣe ayẹwo fun ẹri ti xp_cmdshell ti nlo lati gba pipaṣẹ pipaṣẹ."
- SEO Agbara akoonu & PR Pinpin. Gba Imudara Loni.
- PlatoData.Network inaro Generative Ai. Fi agbara fun ara Rẹ. Wọle si Nibi.
- PlatoAiStream. Web3 oye. Imo Amugbadun. Wọle si Nibi.
- PlatoESG. Erogba, CleanTech, Agbara, Ayika, Oorun, Isakoso Egbin. Wọle si Nibi.
- PlatoHealth. Imọ-ẹrọ Imọ-ẹrọ ati Awọn Idanwo Ile-iwosan. Wọle si Nibi.
- Orisun: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
