Fortinet'in FortiClient Endpoint Management Server (EMS) çözümünde yakın zamanda düzeltilen bir SQL enjeksiyon güvenlik açığı (CVE-2023-48788) pek çok kişinin ilgisini çekti: Horizon3'ün Saldırı Ekibi araç önümüzdeki hafta teknik ayrıntıları ve kavram kanıtını yayınlayacak ve birisi GitHub aracılığıyla bir PoC'yi 300 dolardan daha düşük bir fiyata satmaya çalışıyor.
CVE-2023-48788 Hakkında
CVE-2023-48788, Fortinet'in yakın zamanda yamaladığı çeşitli güvenlik açıklarından biri.
“SQL Komutu ('SQL Enjeksiyonu') güvenlik açığında kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi [CWE-89] FortiClientEMS'de kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine izin verilebilir,” şirketin ürün güvenliği olay müdahale ekibi ilgili danışma belgesinde kısaca belirtiyor.
Ekip ayrıca güvenlik açığının “Fortinet ForticlientEMS geliştirme ekibi ve Birleşik Krallık NCSC'den Thiago Santana tarafından birlikte keşfedilip rapor edildiğini” paylaştı ancak bu güvenlik açığının vahşi saldırılarda kullanılıp kullanılmadığını söylemedi.
CVE-2023-48788 için bir PoC
Çarşamba günü itibariyle birisi, CVE-2023-48788 için “yeni bir istismarın” reklamını yapan bir GitHub sayfası oluşturdu ve kullanıcıların satmak istedikleri dosyaları ve diğerlerini yükleyebilecekleri web tabanlı bir platform olan SatoshiDisk.com'daki bir gönderiye bağlantı verdi. kullanıcılar belirlenen fiyatı öderlerse bunları indirebilirler.
CVE-2023-48788'e yönelik PoC istismarı satışa sunuldu
Ancak olay şu: Satın almadan önce PoC'nin gerçek mi yoksa sahte mi olduğunu kontrol etmenin bir yolu yok. Dolandırıcıların ve kötü amaçlı yazılım satıcılarının geçmişte de aynı bahaneyi kullandığını biliyoruz. para çalmak ve kötü amaçlı yazılım dağıtmak için.
“Satılan istismarın olasılığının düşük olduğunu düşünüyorum. [this seller] gerçek. SANS Internet Storm Center'ın (ISC) kurucusu Dr. Johannes Ullrich, Help Net Security'ye şu anda başka hiçbir yerde reklamı yapılan bir istismar görmüyorum” dedi.
“Öte yandan, eğer bu nispeten basit bir SQL enjeksiyon sorunuysa, istismar o kadar da zor olmayabilir, bu da düşük fiyatı açıklayabilir.”
Ayrıca güvenlik açığının Fortinet ağ geçidi cihazlarını etkilemediğini, ancak örneklerine internet üzerinden erişilmesi daha az olası olan FortiClient EMS'yi etkilediğini de belirtti. Shodan gibi sitelere göre şu anda yalnızca birkaç yüz kadar sistemin açığa çıktığına dikkat çekti.
“Bu noktada Fortinet için neredeyse hiç tarama göremiyorum [ISC’s] bal küpleri ve gerçek bir istismar girişiminin olmaması, şu anda yaygın olarak mevcut olan gerçek bir istismarın bulunmadığının bir başka göstergesi,” diye bitirdi.