Ölçeklenebilir ve merkezi yönetim için kullanılan güvenlik çözümü FortiClientEMS (Kurumsal Yönetim Sunucusu), kimliği doğrulanmamış bir tehdit aktörünün özel hazırlanmış istekler aracılığıyla savunmasız sunucularda yetkisiz kod veya komut yürütmesine izin verebilecek bir SQL enjeksiyon güvenlik açığıyla keşfedildi.
Bu güvenlik açığı, bir SQL komutunda kullanılan özel öğelerin hatalı şekilde etkisiz hale getirilmesi nedeniyle ortaya çıkar. Güvenlik açığına CVE-2023-48788 atanmış ve önem derecesi 9,8 (Kritik).
Ancak Fortiguard bu güvenlik açığı karşısında hızlı bir şekilde harekete geçti ve bunu düzeltmek için yamalar yayınladı.
Üstelik bu güvenlik açığının, ortadaki tehdit aktörleri tarafından da istismar edildiği tespit edildi. Ayrıca bu güvenlik açığına yönelik bir kavram kanıtı da yayımlandı.
Kavram Kanıtı Analizi – CVE-2023-48788
Cyber Security News ile paylaşılan raporlara göre bu güvenlik açığı, FortiClient EMS'de bulunan FmcDaemon.exe gibi birden fazla bileşenden kaynaklanıyor. FCTDas.exe ve bir veya daha fazla uç nokta istemcisi.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Kısa bir bilgi vermek gerekirse, FmcDaemon.exe, tüm gelen bağlantılar için varsayılan olarak 8013 numaralı bağlantı noktasını dinleyen kayıtlı istemcilerle iletişim kurmak için kullanılan ana hizmettir.
FCTDas.exe, diğer çeşitli sunucu bileşenlerinden gelen istekleri, Microsoft SQL Server veritabanıyla da etkileşime giren SQL isteklerine dönüştürmek için kullanılan Veri Erişim Sunucusudur.
Ayrıca, uç nokta istemcileri sunucudaki FmcDaemon ile 8013 numaralı bağlantı noktası (tcp) aracılığıyla iletişim kurabilir.
Ancak güvenlik açığı bulunan bileşen, kurulum klasörü ortak SQL dizeleri açısından taranarak keşfedildi; bu, FCTDas.exe'nin tcp/1433 üzerinden yerel veritabanına bağlantılar kurduğunu ve aynı zamanda localhost bağlantı noktası tcp/65432 üzerinden gelen bağlantıları dinlediğini ortaya çıkardı.
.webp)
Güvenlik Açığı Bulma Tetiklemek
FcmDaemon.exe ile bir uç nokta arasındaki iletişim bilgilerini toplamak için hata ayıklama günlüğünü etkinleştirdikten sonra.
Ayrıca mesaj işleme işlevlerinin çoğunun, Policyhelper.dll'deki bir işlevi kullandığı da keşfedildi.
Bununla birlikte, SQL enjeksiyonu, sunucudan gelen yanıtı 10 saniye geciktiren basit bir uyku yükünü tetikleyen FcmDaemon mesajındaki FCTUID'nin basitçe güncellenmesiyle keşfedildi.
.webp)
Bunu Uzaktan kod yürütmeye yükseltmek için, Microsoft SQL Server'ın diğer birkaç SQL ifadesi aracılığıyla etkinleştirilen yerleşik xp_cmdshell işlevi kullanıldı.
Üstelik Horizon3 araştırmacıları, varlığını doğrulamak için yalnızca SQL enjeksiyon güvenlik açığını tetikleyen bir kavram kanıtı yayınladı.
.webp)
FortiClientEMS için, C:\Program Files (x86)\Fortinet\FortiClientEMS\logs dizini altında kötü amaçlı etkinliklerin daha ayrıntılı analizi için kullanılabilecek birkaç günlük dosyası vardır.
Alternatif olarak MS SQL günlükleri, xp_cmdshell aracılığıyla istismara ilişkin ek kanıtlar açısından da incelenebilir.
Ayrıca NodeZero tehdit aktörünün, bu güvenlik açığını kullanarak savunmasız FortiClientEMS sunucuları üzerinde yürütme elde etmek için farklı teknikler kullandığı da tespit edildi.
.webp)
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.