Aktif Saldırı Altında Kritik Fortinet RCE Hatası


Beklenildiği gibi, Siber saldırganlar saldırdı kritik bir uzaktan kod yürütmede (RCE) Fortinet Enterprise Management Server'daki (EMS) güvenlik açığı Bu, geçen hafta yamalanarak etkilenen sistemlerde sistem yöneticisi ayrıcalıklarıyla isteğe bağlı kod ve komutlar yürütmelerine olanak tanıdı.

Kusur şu şekilde izlendi: CVE-2024-48788 10 üzerinden 9,3 CVSS güvenlik açığı ciddiyet puanına sahip olan bu saldırı, Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) 25 Mart'ta portföyüne eklediği üç kişiden biriydi. Bilinen İstismar Edilen Güvenlik Açıkları KataloğuAktif istismar sırasındaki güvenlik açıklarını takip eden. Fortinet, kullanıcıları kusur konusunda uyardı bu ayın başlarında yamalamanın yanı sıra sessizce güncellendi güvenlik danışmanlığı sömürülmesine dikkat çekmek için.

Özellikle kusur, FortiClient'in merkezi yönetim konsolunun VM sürümü olan FortiClient EMS'de bulunuyor. Birinden kaynaklanıyor SQL enjeksiyon hatası sunucunun doğrudan bağlı bir depolama bileşeninde bulunur ve sunucu ile ona bağlı uç noktalar arasındaki iletişimler tarafından teşvik edilir.

“SQL Komutunda kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi… güvenlik açığı [CWE-89] Fortinet'in tavsiyesine göre, FortiClientEMS'deki bir güvenlik açığı, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine izin verebilir.

CVE-2024-48788 için Kavram Kanıtı İstismarı

Kusurun şu anki kullanımı, geçen hafta yayınlanan bir kavram kanıtı (PoC) yararlanma kodunun yanı sıra bir analiz tarafından Horizon.ai'deki araştırmacılar kusurun nasıl istismar edilebileceğini ayrıntılarıyla anlatıyor.

Horizon.ai araştırmacıları kusurun, sunucunun kayıtlı uç nokta istemcileriyle iletişimden sorumlu ana hizmeti olan FcmDaemon.exe'nin bu istemcilerle nasıl etkileşimde bulunduğunda yattığını keşfetti. Hizmet, varsayılan olarak araştırmacıların PoC'yi geliştirmek için kullandığı, gelen istemci bağlantıları için 8013 numaralı bağlantı noktasını dinler.

Sunucunun bu hizmetle etkileşime giren diğer bileşenleri, çeşitli diğer sunucu bileşenlerinden gelen istekleri SQL isteklerine dönüştürmekten ve daha sonra Microsoft SQL Server veritabanıyla etkileşim kurmaktan sorumlu olan FCTDas.exe adlı veri erişim sunucusudur.

Fortinet Kusurundan Yararlanmak

Horizon.ai araştırmacıları, kusurdan yararlanmak için öncelikle bir istemci ile FcmDaemon hizmeti arasındaki tipik iletişimin nasıl görünmesi gerektiğini bir yükleyici yapılandırarak ve temel bir uç nokta istemcisi dağıtarak belirledi.

Horizon.ai istismar geliştiricisi James Horseman, “Bir uç nokta istemcisi ile FcmDaemon.exe arasındaki normal iletişimin TLS ile şifrelendiğini bulduk ve meşru trafiğin şifresini çözmek için TLS oturum anahtarlarını boşaltmanın kolay bir yolu yok gibi görünüyor” dedi. yazıda.

Ekip daha sonra hizmetin günlüğünden iletişimle ilgili ayrıntıları topladı; bu, araştırmacılara FcmDaemon ile iletişim kurmak için bir Python betiği yazmaları için yeterli bilgi sağladı. Horseman, bir miktar deneme yanılma sonrasında ekibin mesaj formatını inceleyebildiğini ve bir SQL enjeksiyonunu tetiklemek için FcmDaemon hizmetiyle “anlamlı iletişimi” etkinleştirebildiğini yazdı.

“Formun basit bir uyku yükünü oluşturduk ' VE 1=0; GECİKMEYİ BEKLEYİN '00:00:10' — ',” diye açıkladı gönderide. “Yanıt olarak 10 saniyelik gecikmeyi fark ettik ve istismarı tetiklediğimizi biliyorduk.”

Horseman'a göre araştırmacılar, bu SQL enjeksiyon güvenlik açığını bir RCE saldırısına dönüştürmek için Microsoft SQL Server'ın yerleşik xp_cmdshell işlevini kullanarak PoC'yi oluşturdu. “Başlangıçta veritabanı xp_cmdshell komutunu çalıştıracak şekilde yapılandırılmadı; ancak birkaç başka SQL ifadesiyle önemsiz bir şekilde etkinleştirildi” diye yazdı.

PoC'nin güvenlik açığını yalnızca xp_cmdshell olmadan basit bir SQL enjeksiyonu kullanarak doğruladığını unutmamak önemlidir; Horseman, bir saldırganın RCE'yi etkinleştirebilmesi için PoC'nin değiştirilmesi gerektiğini ekledi.

Fortinet'te Siber Saldırılar Artıyor; Hemen Yama Yapın

Fortinet hataları popüler hedeflerdir saldırganlar için, güvenlik firmasında personel araştırma mühendisi olan Chris Boyd rolünde Tenable tavsiyesinde uyardı İlk olarak 14 Mart'ta yayınlanan kusur hakkında. Örnek olarak diğer birkaç Fortinet kusurunu gösterdi. CVE-2023-27997, birden fazla Fortinet ürününde kritik bir yığın tabanlı arabellek taşması güvenlik açığı ve CVE-2022-40684, FortiOS, FortiProxy ve FortiSwitch Manager teknolojilerindeki kimlik doğrulama atlama hatası Tehdit aktörleri tarafından istismar ediliyor. Aslında ikinci hata, saldırganların sistemlere ilk erişimini sağlamak amacıyla bile satılmıştı.

“Kullanım kodu yayınlandığından ve Fortinet kusurlarının geçmişte de dahil olmak üzere tehdit aktörleri tarafından kötüye kullanılmasından dolayı gelişmiş kalıcı tehdit (APT) aktörleri Boyd, Horizon.ai'nin yayınlanmasının ardından tavsiye niteliğindeki güncellemesinde şunları yazdı:

Fortinet ve CISA ayrıca, ilk danışma ile PoC istismarının yayınlanması arasındaki fırsat penceresini kullanmayan müşterilere de şu çağrıyı yapıyor: yama sunucuları bu son kusura karşı anında savunmasızdır.

Horizon.ai'den Horseman, kuruluşların kusurun kötüye kullanım altında olup olmadığını tespit etmelerine yardımcı olmak için bir ortamdaki risk göstergelerinin (IoC'ler) nasıl tanımlanacağını açıkladı. “C:\Program Files (x86)\Fortinet\FortiClientEMS\logs içinde, tanınmayan istemcilerden gelen bağlantılar veya diğer kötü amaçlı etkinlikler açısından incelenebilecek çeşitli günlük dosyaları var” diye yazdı. “MS SQL günlükleri, komut yürütmeyi elde etmek için kullanılan xp_cmdshell'in kanıtı açısından da incelenebilir.”





Source link