Fortinet, FortiClient Enterprise Management Server (EMS) yazılımında, saldırganların savunmasız sunucularda uzaktan kod yürütme (RCE) elde etmesine olanak tanıyan kritik bir güvenlik açığını kapattı.
FortiClient EMS, yöneticilerin kurumsal bir ağa bağlı uç noktaları yönetmesine olanak tanıyarak FortiClient yazılımını dağıtmalarına ve Windows cihazlarına güvenlik profilleri atamalarına olanak tanır.
Güvenlik açığı (CVE-2023-48788), Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve Fortinet geliştiricisi Thiago Santana tarafından keşfedilen ve bildirilen DB2 Yönetim Sunucusu (DAS) bileşenine yapılan bir SQL enjeksiyonudur.
FortiClient EMS 7.0 (7.0.1 ila 7.0.10) ve 7.2 (7.2.0 ila 7.2.2) sürümlerini etkiler ve kimliği doğrulanmamış saldırganların, yama yapılmamış sunucularda düşük karmaşıklıktaki saldırılarda SİSTEM ayrıcalıklarıyla RCE kazanmasına olanak tanır. kullanıcı etkileşimi gerektirir.
“SQL Komutu ('SQL Enjeksiyonu') güvenlik açığında kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi [CWE-89] FortiClientEMS'deki güvenlik açığı, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine izin verebilir,” diye açıkladı şirket Salı günü yayınlanan bir güvenlik tavsiyesinde.
Fortinet, yama öncesinde CVE-2023-48788'in saldırılarda kullanıldığına dair herhangi bir kanıt olup olmadığını açıklamadı.
Horizon3'ün Saldırı Ekibi onaylanmış hatanın bugünkü kritik ciddiyeti ve gelecek hafta kavram kanıtı yararlanma kodunu ve teknik bir derinlemesine incelemeyi yayınlayacaklarını söyledi.
Salı günü şirket, FortiOS ve FortiProxy sabit portalında, kimliği doğrulanmamış bir “içerideki saldırganın” kötü niyetli olarak hazırlanmış HTTP kullanarak yama yapılmamış kod veya komutları uzaktan çalıştırmasına izin verebilecek başka bir kritik sınır dışı yazma zayıflığını (CVE-2023-42789) düzeltti. istekler.
Diğer iki yüksek önem dereceli kusur, FortiManager için FortiWLM MEA'daki uygunsuz erişim kontrolü (CVE-2023-36554) ve bu hafta yamalanan FortiClient EMS'deki CSV enjeksiyonu (CVE-2023-47534), tehdit aktörlerinin keyfi komutlar yürütmesine veya Savunmasız sistemlerdeki kodlar.
Geçen ay Fortinet, FortiOS işletim sisteminde ve FortiProxy güvenli web proxy'sinde kritik bir uzaktan kod yürütme (RCE) hatasını (CVE-2024-21762) açıkladı ve şirket bunu “potansiyel olarak vahşi doğada istismar ediliyor” olarak etiketledi.
Bir gün sonra CISA, CVE-2024-21762'nin aktif olarak kullanıldığını bir gün sonra doğruladı ve federal kurumlara FortiOS ve FortiProxy cihazlarını yedi gün içinde güvenceye almalarını emretti.
Fortinet kusurlarından, fidye yazılımı saldırıları ve siber casusluk kampanyaları (çoğu kez sıfır gün) yoluyla kurumsal ağları ihlal etmek için düzenli olarak yararlanılıyor.
Örneğin Fortinet, Şubat ayında Çinli Volt Typhoon hack grubunun daha önce bir arka kapı açmak için kullanılan Coathanger özel uzaktan erişim trojan (RAT) kötü amaçlı yazılımını dağıtmak için iki FortiOS SSL VPN kusuru (CVE-2022-42475 ve CVE-2023-27997) kullandığını ortaya çıkardı. Hollanda Savunma Bakanlığı'nın askeri ağı.