Hackerlar FortiClient EMS Güvenlik Açığından (CVE-2023-48788) Doğada Yararlanıyor

Siber güvenlik araştırmacıları, Fortinet’in FortiClient Kurumsal Yönetim Sunucusunda (EMS) CVE-2023-48788 olarak takip edilen kritik bir güvenlik açığından aktif olarak yararlanıldığını ortaya çıkardı.

SQL komutlarının hatalı filtrelenmesinden kaynaklanan bu kusur, saldırganların SQL enjeksiyonu yoluyla yetkisiz kod veya komutlar yürütmesine olanak tanıyor. Yamaların mevcut olmasına rağmen, tehdit aktörleri bu güvenlik açığından yararlanarak kurumsal ağlara dünya çapında sızmayı sürdürüyor.

CVE-2023-48788, FortiClient EMS’nin 7.0.1 ila 7.0.10 ve 7.2.0 ila 7.2.2 sürümlerini etkiliyor ve Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) 9,8’lik kritik puana sahip.

Kimliği doğrulanmamış saldırganların, özel hazırlanmış veri paketleri göndererek sistemden yararlanmalarına olanak tanır ve potansiyel olarak uzaktan kod yürütülmesine (RCE) yol açar. Güvenlik açığı Mart 2024’te 7.0.11 ve 7.2.3 sürümlerinde yayınlanan yamalarla açıklandı.

FortiClient EMS, genellikle uzaktan erişim amacıyla internete açık olan uç nokta güvenlik politikalarını yönetmek için merkezi bir platform görevi görür.

Bu açığa çıkma, istismar riskini artırarak saldırganların ilk erişim kurmasına, keşif yapmasına ve kötü amaçlı yükleri dağıtmasına olanak tanır.

API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt

FortiClient EMS Güvenlik Açığı Vahşi Şekilde İstismara Uğradı

Kaspersky’nin Küresel Acil Durum Müdahale Ekibi (GERT), Ekim 2024’teki bir olay müdahalesi sırasında, savunmasız bir FortiClient EMS sürümünü (7.0.1) kullanan bir Windows sunucusuna saldırı tespit etti.

Saldırganlar, SQL enjeksiyonu yoluyla erişim elde etti ve kalıcılık ve yatay hareket için ScreenConnect ve AnyDesk gibi uzaktan izleme ve yönetim (RMM) araçlarını kullandı.

Eserler gibi araçların kullanımını ortaya çıkardı mimikatz.exe kimlik bilgileri hırsızlığı için ve HRSword.exe savunmadan kaçmak için. Saldırganlar ayrıca aşağıdaki gibi yerel Windows ikili dosyalarını da kullandı: certutil Ve curl Ek yükler indirerek, güvenliği ihlal edilmiş sistemler üzerindeki kontrollerini artırıyorlar.

Sistem günlüklerinden elde edilen kanıtlar, FortiClient EMS günlüklerindeki SQL enjeksiyon girişimlerini vurguladı (ems.log, sql_trace.log) ve Microsoft SQL Server günlükleri (ERRORLOG.X). Bu günlükler, uzaktan komut yürütülmesine olanak tanıyan yetkisiz SQL sorgularını ortaya çıkardı. xp_cmdshell işlev.

Tehdit istihbaratı, CVE-2023-48788’in birden fazla bölge ve sektörde yaygın şekilde kullanıldığını gösteriyor. Saldırganların veri hırsızlığı, kimlik bilgileri hırsızlığı ve fidye yazılımı dağıtımı amacıyla savunmasız sistemleri hedef aldığı gözlemlendi. Özellikle Medusa fidye yazılımı gibi grupların ilk erişim için bu güvenlik açığından yararlandığı dikkat çekiyor.

FortiClient EMS kullanan kuruluşların, riskleri azaltmak için acilen yamalı sürümlere (7.0.11 veya üstü, 7.2.3 veya üstü) güncellemeleri gerekir. Ek güvenlik önlemleri şunları içerir:

• FortiClient EMS sunucularının internet erişimini kısıtlama.
• İzinsiz giriş tespit sistemlerini (IDS) kullanarak ağ trafiğini kötüye kullanım işaretleri açısından izleme.
• Tüm ana bilgisayarlarda uç nokta koruma platformlarının (EPP) uygulanması.
• Kötü amaçlı istekleri engellemek için web uygulaması güvenlik duvarlarını (WAF) yapılandırma.
• Sistem günlüklerinin şüpheli etkinlik açısından düzenli olarak incelenmesi.

Bu olay, CVE-2023-48788 gibi bilinen güvenlik açıklarından yararlanarak gelişen tehditlere karşı savunma sağlamak için zamanında yama yönetiminin ve güçlü siber güvenlik uygulamalarının önemini vurgulamaktadır.