正如所料， 网络攻击者已经出击 关键远程代码执行 (RCE) Fortinet 企业管理服务器 (EMS) 中的漏洞 该漏洞于上周修复，允许他们在受影响的系统上以系统管理员权限执行任意代码和命令。

缺陷，被追踪为 CVE-2024-48788 该漏洞的 CVSS 漏洞严重性评分为 9.3 分（满分 10 分），是网络安全和基础设施安全局 (CISA) 于 25 月 XNUMX 日添加到其漏洞严重性的三个漏洞之一 已知利用漏洞目录，它跟踪主动利用的安全漏洞。飞塔，其中 警告用户该缺陷 以及本月早些时候修补它，还悄悄更新了它 安全咨询 注意它的利用。

具体来说，该缺陷是在 FortiClient EMS（FortiClient 中央管理控制台的 VM 版本）中发现的。它源于一个 SQL注入错误 在服务器的直连存储组件中，并由服务器和连接到它的端点之间的通信激发。

根据 Fortinet 的通报，“对 SQL 命令中使用的特殊元素进行不当中和……FortiClientEMS 中的漏洞 [CWE-89] 可能允许未经身份验证的攻击者通过专门设计的请求执行未经授权的代码或命令。”

CVE-2024-48788 的概念验证漏洞利用

目前对该缺陷的利用是在上周发布的 概念验证（PoC） 利用代码以及分析 Horizo​​n.ai 的研究人员 详细说明如何利用该缺陷。

Horizo​​n.ai 研究人员发现，该缺陷在于负责与注册端点客户端通信的服务器主要服务（FcmDaemon.exe）如何与这些客户端交互。默认情况下，该服务在端口 8013 上侦听传入的客户端连接，研究人员使用该端口来开发 PoC。

与此服务交互的服务器的其他组件是数据访问服务器 FCTDas.exe，它负责将来自各种其他服务器组件的请求转换为 SQL 请求，然后与 Microsoft SQL Server 数据库交互。

利用 Fortinet 缺陷

为了利用该缺陷，Horizo​​n.ai 研究人员首先通过配置安装程序并部署基本端点客户端来确定客户端与 FcmDaemon 服务之间的典型通信应是什么样子。

Horizo​​n.ai 漏洞利用开发人员 James Horseman 解释说：“我们发现端点客户端和 FcmDaemon.exe 之间的正常通信是使用 TLS 加密的，而且似乎没有一种简单的方法可以转储 TLS 会话密钥来解密合法流量。”在文中。

然后，该团队从服务日志中收集了有关通信的详细信息，这为研究人员提供了足够的信息来编写 Python 脚本来与 FcmDaemon 进行通信。 Horseman 写道，经过一番尝试和错误，团队能够检查消息格式并启用与 FcmDaemon 服务的“有意义的通信”以触发 SQL 注入。

“我们构建了一个简单的睡眠有效负载，其形式为' 且 1=0；等待延迟'00:00:10' - '，”他在帖子中解释道。 “我们注意到响应延迟了 10 秒，并知道我们已经触发了该漏洞。”

Horseman 表示，为了将此 SQL 注入漏洞转变为 RCE 攻击，研究人员使用 Microsoft SQL Server 的内置 xp_cmdshell 功能来创建 PoC。 “最初，数据库未配置为运行 xp_cmdshell 命令；然而，它可以通过其他一些 SQL 语句轻松启用，”他写道。

需要注意的是，PoC仅通过简单的SQL注入来确认漏洞，没有使用xp_cmdshell； Horseman 补充道，攻击者要想启用 RCE，就必须更改 PoC。

Fortinet 上的网络攻击加剧；立即修补

Fortinet bug 是热门目标 对于攻击者，正如安全公司研究工程师 Chris Boyd 所说 Tenable 在他的咨询中警告说 关于该缺陷最初于 14 月 XNUMX 日发布。他引用了其他几个 Fortinet 缺陷作为例子，例如 CVE-2023-27997， 多个 Fortinet 产品中存在一个严重的基于堆的缓冲区溢出漏洞，以及 CVE-2022-40684， FortiOS、FortiProxy 和 FortiSwitch Manager 技术中的身份验证绕过缺陷 - 被威胁行为者利用。事实上，后一个错误甚至被出售，目的是让攻击者能够初始访问系统。

“由于漏洞代码已经发布，并且威胁行为者过去滥用 Fortinet 缺陷，包括 高级持续威胁 (APT) 参与者 博伊德在 Horizo​​n.ai 发布后的公告更新中写道：“我们强烈建议国家和民族国家团体尽快修复此漏洞。”

Fortinet 和 CISA 还敦促那些没有利用最初咨询和 PoC 漏洞发布之间机会窗口的客户 补丁服务器 立即容易受到这个最新缺陷的影响。

为了帮助组织确定该缺陷是否正在被利用，Horizo​​n.ai 的 Horseman 解释了如何识别环境中的妥协指标 (IoC)。 “C:Program Files (x86)FortinetFortiClientEMSlogs 中有各种日志文件，可以检查来自无法识别的客户端的连接或其他恶意活动，”他写道。 “还可以检查 MS SQL 日志，以查找 xp_cmdshell 被用来获取命令执行的证据。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack