Horizon3’ün Saldırı Ekibi, Fortinet’in ağ erişim kontrol çözümü FortiNAC’ı etkileyen kritik bir güvenlik açığı olan CVE-2022-39952 için bir PoC açığı yayınladı.
“Rastgele dosya yazmaya izin veren önceki arşiv güvenlik açığı sorunlarının silah haline getirilmesine benzer şekilde, bu güvenlik açığını dosya yazmak için kullanıyoruz. /etc/cron.d/payload’a cron işi. Horizon3 Baş Saldırı Mühendisi Zach Hanley, bu cron işi her dakika tetiklenir ve saldırgana karşı bir ters kabuk başlatır.
“Önce bir dosya içeren bir zip oluşturuyoruz ve çıkarılmasını istediğimiz yolu belirliyoruz. Ardından, kötü amaçlı zip dosyasını anahtar alanındaki savunmasız uç noktaya gönderiyoruz. Bir dakika içinde, kök kullanıcı olarak ters bir kabuk elde ederiz.”
Şu ana kadar istismar girişimi tespit edilmedi
Hanley kusurun doğasını açıkladı ve uzlaşma göstergelerini paylaştı: çizgi configApplianceXml’i çalıştırma bulunan dosya sistemi günlüklerinde /bsc/logs/output.master. Ancak, saldırganlar günlük dosyasını temizlediklerinden emin olursa, savunucuların onu bulamayacağını da belirtiyor.
“Rastgele dosya yazma güvenlik açıkları, uzaktan kod yürütme elde etmek için çeşitli şekillerde kötüye kullanılabilir. Bu durumda, bir cron işi yazıyoruz. /etc/cron.d/ancak saldırganlar ayrıca düzenli olarak çalıştırılan sistemde veya bir kullanıcı profiline ait SSH anahtarlarının üzerine yazabilir ve bunları ikili olarak çalıştırabilir.”
Aynı anda, Greynoise CVE-2022-39952 suistimal girişimlerini kaydetmek için bir etiket oluşturdu ve şu ana kadar herhangi bir tespit edilmedi.
İlk Fortinet uyarısını kaçıran kuruluş yöneticilerine, FortiNAC cihazlarını mümkün olan en kısa sürede 9.4.1 veya üzeri, 9.2.6 veya üzeri, 9.1.8 veya üzeri ve 7.2.0 veya üzeri sürümlere güncellemesi tavsiye edilir. çünkü kullanılabilir bir geçici çözüm yok.