Güvenlik araştırmacıları, Fortinet'in FortiClient Enterprise Management Server (EMS) yazılımındaki kritik bir güvenlik açığına yönelik bir kavram kanıtlama (PoC) istismarı yayınladı ve bu güvenlik açığı artık saldırılarda aktif olarak kullanılıyor.
CVE-2023-48788 olarak izlenen bu güvenlik açığı, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından keşfedilip bildirilen DB2 Yönetim Sunucusu (DAS) bileşenine yapılan bir SQL enjeksiyonudur.
FortiClient EMS'nin 7.0 (7.0.1 ila 7.0.10) ve 7.2 (7.2.0 ila 7.2.2) sürümlerini etkiler ve kimliği doğrulanmamış tehdit aktörlerinin, düşük düzeyde yama uygulanmamış sunucularda SİSTEM ayrıcalıklarıyla uzaktan kod yürütme (RCE) elde etmesine olanak tanır. Kullanıcı etkileşimi gerektirmeyen karmaşıklık saldırıları.
“SQL Komutu ('SQL Enjeksiyonu') güvenlik açığında kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi [CWE-89] FortiClientEMS'deki güvenlik açığı, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine izin verebilir.” Fortinet, geçen hafta yayınlanan bir güvenlik tavsiyesinde şöyle açıklıyor:
Şirket başlangıçta CVE-2023-48788'in saldırılarda kullanıldığından bahsetmemiş olsa da, daha sonra “güvenlik açığının vahşi ortamda istismar edildiğini” söyleyerek uyarıyı sessizce güncelledi.
Fortinet'in güvenlik açığını gidermek için güvenlik güncellemelerini yayınlamasından bir hafta sonra Perşembe günü, Horizon3'ün Saldırı Ekibindeki güvenlik araştırmacıları bir teknik analiz yayınladılar ve uzaktan kod sağlamadan bir sistemin savunmasız olup olmadığını doğrulamaya yardımcı olan bir kavram kanıtını (PoC) paylaştılar yürütme yetenekleri.
Horizon3'ün yararlanma kodunu RCE saldırılarında kullanmak isteyenler, kod yürütme için bir Windows komut kabuğu oluşturmak üzere Microsoft SQL Server xp_cmdshell prosedürünü kullanacak şekilde PoC'yi değiştirmelidir.
Horizon3 güvenlik açığı araştırmacısı James Horseman, “Bu SQL enjeksiyon güvenlik açığını uzaktan kod yürütmeye dönüştürmek için Microsoft SQL Server'ın yerleşik xp_cmdshell işlevini kullandık” dedi.
“Başlangıçta veritabanı xp_cmdshell komutunu çalıştıracak şekilde yapılandırılmadı, ancak birkaç başka SQL ifadesiyle önemsiz bir şekilde etkinleştirildi.”
Shodan şu anda çevrimiçi olarak açığa çıkan 440'tan fazla FortiClient Kurumsal Yönetim Sunucusu (EMS) sunucusunu izliyor; Shadowserver tehdit izleme hizmeti ise çoğu ABD'de olmak üzere 300'den fazla sunucu buldu.
Şubat ayında Fortinet, FortiOS işletim sistemindeki ve FortiProxy güvenli web proxy'sindeki başka bir kritik RCE hatasını (CVE-2024-21762) yamaladı ve bunun “potansiyel olarak vahşi ortamda istismar edildiğini” söyledi.
Ancak ertesi gün CISA, CVE-2024-21762 hatasının aktif olarak istismar edildiğini doğruladı ve federal kurumlara FortiOS ve FortiProxy cihazlarını yedi gün içinde güvence altına almaları yönünde talimat verdi.
Fortinet'in güvenlik açıklarının, fidye yazılımı saldırıları ve siber casusluk kampanyaları için kurumsal ağlara yetkisiz erişim elde etmek amacıyla sıklıkla sıfır gün açıklarından yararlanılarak kullanıldığını da belirtmekte fayda var.