Araştırmacılar, Fortinet’in FortiNAC ürünündeki, kimliği doğrulanmamış bir saldırganın sistemde rasgele dosyalar yazmasına ve kök kullanıcı olarak RCE’ye ulaşmasına olanak tanıyan kritik bir uzaktan kod yürütme (RCE) hatasının nasıl kullanılacağına ilişkin ayrıntıları yayınladı.
Kuruluşlar, kurumsal ağa bağlı tüm dijital varlıkları denetlemek ve güvence altına almak için bir ağ erişim kontrolü çözümü olarak FortiNAC’ı kullanıyor. Ürün, diğerleri arasında kurumsal uç noktalar, Nesnelerin İnterneti (IoT), operasyonel teknoloji ve endüstriyel kontrol sistemleri (OT/ICS) ve bağlı tıbbi cihazlar (IoMT) dahil olmak üzere bir dizi cihazı yönetmek için kullanılabilir. Buradaki fikir, ağa bağlanan her şey için görünürlük, kontrol ve otomatik yanıt sağlamaktır ve bu nedenle cihaz, saldırganların ağlara derinlemesine girmeleri, ortamları numaralandırmaları, hassas bilgileri çalmaları ve daha fazlası için altın bir fırsat sunar.
Horizon3.ai’deki araştırmacılar, CVE-2022-39952 olarak izlenen ve geçen hafta Fortinet tarafından ortaya çıkarılan ve yamalanan güvenlik açığından yararlanmanın teknik analizini ve kavram kanıtını (POC) içeren bir blog yazısı yayınladı. Daha sonra GitHub’da istismar kodunu yayınladılar.
Fortinet’ten Gwendal Guégniaud, CVSS güvenlik açığı-önem ölçeğinde 9,8 gibi kritik bir puan alan güvenlik açığını keşfetti. Fortinet danışma belgesinde, hatanın saldırganların FortiNAC Web sunucusundaki bir dosya adının veya yol güvenlik açığının harici kontrolünü ele geçirmesine izin verdiğini ve böylece sistemde kimliği doğrulanmamış rasgele yazmalara izin verdiğini söyledi.
Fortinet, etkilenen ürün sürümlerinde yama yaptı ve müşterilerin FortiNAC sürüm 9.4.1 veya üzeri, FortiNAC sürüm 9.2.6 veya üzeri, FortiNAC sürüm 9.1.8 veya FortiNAC sürüm 7.2.0 veya üzeri sürümlere güncelleme yapması istendi.
Fortinet FortiNAC Kusurundan Nasıl Yararlanılır?
Saldırganların keyfi dosya yazma kusurlarından yararlanarak RCE’yi elde etmesinin birkaç yolu olsa da, araştırmacılar güvenlik açığından yararlanmak için ” /etc/cron.d/’ye cron işi” denilen şeyi yazdıklarını söylediler.
Araştırmacılar, kusuru incelemek için ürünün hem savunmasız hem de yamalı sürümlerinden dosya sistemlerini çıkardılar ve Fortinet’in hatayı yamalayan güncellemede /bsc/campusMgr/ui/ROOT/configWizard/keyUpload.jsp adlı rahatsız edici bir dosyayı kaldırdığını gördüler. Araştırmacılar, dosyanın kimliği doğrulanmamış bir uç noktanın key parametresinde bir dosya sağlayan istekleri ayrıştırmasına ve ardından onu /bsc/campusMgr/config.applianceKey’e yazmasına izin verdiğini söyledi.
Bu kusurdan yararlanmak için, araştırmacılar dosyayı başarılı bir şekilde yazdılar ve bir bash betiğini yürüten bir çağrı yaptılar, bu da daha önce yazılmış olan dosyayı açabiliyor. Horizon3.ai’nin baş saldırı mühendisi Zach Hanley, blog gönderisinde, açma işlemi “mevcut çalışma dizininin üzerine çıkmadıkları sürece dosyaların herhangi bir yola yerleştirilmesine izin verecek” dedi. “Çalışma dizini / olduğu için, bash betiğinin içindeki unzip çağrısı herhangi bir rasgele dosyanın yazılmasına izin verir.”
“Hemen, saldırganın kontrolündeki dosyada bu çağrıyı görmek, arşiv açmayı kötüye kullanan, son zamanlarda baktığımız birkaç güvenlik açığına geri dönüş sağladı” diye ekledi.
Araştırmacılar, kusuru silah haline getirmek için /etc/cron.d/payload kodunu kullanmayı gerektiren yukarıda belirtilen cron işini kullandılar. İş her dakika tetiklenir ve saldırgana karşı bir ters mermi başlatır. Bunu yapmak için araştırmacılar, bir dosya içeren ve çıkarma yolunu belirten bir zip arşivi oluşturdu ve ardından kötü amaçlı zip dosyasını anahtar alanındaki savunmasız son noktaya gönderdiler.
Hanley, “Bir dakika içinde, kök kullanıcı olarak ters bir kabuk elde ederiz”, bu daha sonra uzaktan kodun yürütülmesine izin verebilir, diye yazdı.
Saldırganın İlgi Tarihi
Tarihsel olarak, saldırganların Fortinet kusurlarına saldırma eğilimi vardı – hatta bazen şirket bunların varlığından haberdar bile olmadan. Kurumsal ağlarda bir dayanak elde etmek için önemli bir fırsat sundukları için, FortiNAC’ın etkilenen sürümlerini çalıştıran herhangi bir kuruluşun en kısa sürede yamalı ürünlere güncelleme yapması ihtiyatlı olacaktır. Şimdiye kadar, ne Fortinet ne de Horizon3.ai, saldırganların bu açıktan yararlandığının farkında değil, ancak şimdi, nasıl istismar edilebileceğine dair adım adım ayrıntılarla birlikte, ikincisinin kavram kanıtı yayınlandığına göre, bu büyük olasılıkla değişmek.
Daha Ocak ayında araştırmacılar, Fortinet’in Aralık ayında FortiOS ve FortiProxy teknolojilerinin birden çok sürümünde keşfettiği sıfır gün güvenlik açığına BoldMove adlı sofistike yeni bir arka kapı bağladılar. Kusur, kimliği doğrulanmamış bir saldırganın etkilenen sistemlerde rasgele kod yürütmesine izin verdi. Araştırmacılar, sıfır gün saldırısında, siber casusluk operasyonlarında yer alan Çin merkezli bir tehdit aktörünün, kötü amaçlı yazılımı, güvenlik açığı halka açıklanmadan ve yamalanmadan önce bile özellikle Fortinet’in FortiGate güvenlik duvarlarında çalışacak şekilde yazdığını keşfetti.
Saldırganlar, Ekim ayında Fortinet’in FortiOS, FortiProxy ve FortiSwitchManager teknolojilerinin birden çok sürümünde, özellikle açıktan yararlanma kodu yayınlandıktan sonra, kritik bir kimlik doğrulama baypas güvenlik açığına da büyük ilgi gösterdi.