প্রত্যাশিত, সাইবার আক্রমণকারীরা ঝাঁপিয়ে পড়েছে ক্রিটিক্যাল রিমোট কোড এক্সিকিউশনে (RCE) ফোর্টিনেট এন্টারপ্রাইজ ম্যানেজমেন্ট সার্ভারে (ইএমএস) দুর্বলতা যেটি গত সপ্তাহে প্যাচ করা হয়েছিল, তাদের প্রভাবিত সিস্টেমে সিস্টেম অ্যাডমিন বিশেষাধিকার সহ নির্বিচারে কোড এবং কমান্ড চালানোর অনুমতি দেয়।
ত্রুটি, হিসাবে ট্র্যাক জন্য CVE-2024-48788 9.3টি সিভিএসএস দুর্বলতা-তীব্রতা স্কোরের মধ্যে 10 সহ, সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) 25 মার্চ এর তিনটির মধ্যে একটি ছিল পরিচিত শোষিত দুর্বলতা ক্যাটালগ, যা সক্রিয় শোষণের অধীনে নিরাপত্তা দুর্বলতার ট্র্যাক রাখে। Fortinet, যা ব্যবহারকারীদের ত্রুটি সম্পর্কে সতর্ক করা হয়েছে সেইসাথে এই মাসের শুরুতে এটি প্যাচ, এছাড়াও শান্তভাবে আপডেট নিরাপত্তা অ্যাডভাইসারির এর শোষণ লক্ষ করার জন্য।
বিশেষত, ত্রুটিটি FortiClient EMS-এ পাওয়া যায়, FortiClient এর কেন্দ্রীয় ব্যবস্থাপনা কনসোলের VM সংস্করণ। এটি একটি থেকে উদ্ভূত হয় এসকিউএল ইনজেকশন ত্রুটি সার্ভারের একটি সরাসরি-সংযুক্ত স্টোরেজ উপাদানে এবং এটির সাথে সংযুক্ত সার্ভার এবং এন্ডপয়েন্টের মধ্যে যোগাযোগ দ্বারা উদ্বুদ্ধ হয়।
FortiClientEMS-এ একটি এসকিউএল কমান্ডে ব্যবহৃত বিশেষ উপাদানগুলির একটি অনুপযুক্ত নিরপেক্ষতা … দুর্বলতা [CWE-89] একটি অননুমোদিত আক্রমণকারীকে বিশেষভাবে তৈরি করা অনুরোধের মাধ্যমে অননুমোদিত কোড বা কমান্ড চালানোর অনুমতি দিতে পারে,” Fortinet-এর পরামর্শ অনুযায়ী।
CVE-2024-48788-এর জন্য প্রুফ-অফ-কনসেপ্ট এক্সপ্লোইট
ত্রুটির বর্তমান শোষণ গত সপ্তাহে মুক্তি অনুসরণ করে একটি ধারণার প্রমাণ (PoC) শোষণ কোড সেইসাথে একটি বিশ্লেষণ দ্বারা Horizon.ai-এর গবেষকরা কিভাবে ত্রুটি শোষণ করা যেতে পারে বিস্তারিত.
Horizon.ai গবেষকরা আবিষ্কার করেছেন যে কীভাবে সার্ভারের প্রধান পরিষেবা তালিকাভুক্ত এন্ডপয়েন্ট ক্লায়েন্ট - FcmDaemon.exe - সেই ক্লায়েন্টদের সাথে যোগাযোগের জন্য দায়ী তার মধ্যে রয়েছে। ডিফল্টরূপে, পরিষেবাটি ইনকামিং ক্লায়েন্ট সংযোগের জন্য পোর্ট 8013-এ শোনে, যা গবেষকরা PoC বিকাশ করতে ব্যবহার করেন।
সার্ভারের অন্যান্য উপাদান যা এই পরিষেবার সাথে ইন্টারঅ্যাক্ট করে সেগুলি হল একটি ডেটা অ্যাক্সেস সার্ভার, FCTDas.exe, যা অন্যান্য সার্ভারের বিভিন্ন উপাদান থেকে আসা অনুরোধগুলিকে SQL অনুরোধে অনুবাদ করার জন্য তারপরে Microsoft SQL সার্ভার ডাটাবেসের সাথে ইন্টারঅ্যাক্ট করার জন্য দায়ী৷
Fortinet ত্রুটি শোষণ
ত্রুটিটি শোষণের বিষয়ে যেতে, Horizon.ai গবেষকরা প্রথমে একটি ইনস্টলার কনফিগার করে এবং একটি মৌলিক এন্ডপয়েন্ট ক্লায়েন্ট স্থাপন করে একটি ক্লায়েন্ট এবং FcmDaemon পরিষেবার মধ্যে সাধারণ যোগাযোগগুলি কেমন হওয়া উচিত তা প্রতিষ্ঠা করেছেন।
"আমরা দেখেছি যে একটি এন্ডপয়েন্ট ক্লায়েন্ট এবং FcmDaemon.exe-এর মধ্যে স্বাভাবিক যোগাযোগগুলি TLS দিয়ে এনক্রিপ্ট করা হয়েছে, এবং বৈধ ট্র্যাফিক ডিক্রিপ্ট করার জন্য TLS সেশন কী ডাম্প করার সহজ উপায় বলে মনে হচ্ছে না," Horizon.ai শোষণের বিকাশকারী জেমস হর্সম্যান ব্যাখ্যা করেছেন পদে.
দলটি তখন যোগাযোগের বিষয়ে পরিষেবার লগ থেকে বিশদ সংগ্রহ করে, যা গবেষকদের FcmDaemon-এর সাথে যোগাযোগ করার জন্য একটি পাইথন স্ক্রিপ্ট লেখার জন্য যথেষ্ট তথ্য প্রদান করে। কিছু পরীক্ষা এবং ত্রুটির পরে, দলটি বার্তা বিন্যাসটি পরীক্ষা করতে সক্ষম হয়েছিল এবং একটি এসকিউএল ইনজেকশন ট্রিগার করার জন্য FcmDaemon পরিষেবার সাথে "অর্থপূর্ণ যোগাযোগ" সক্ষম করতে সক্ষম হয়েছিল, হর্সম্যান লিখেছেন।
“আমরা ফর্মের একটি সাধারণ স্লিপ পেলোড তৈরি করেছি ' এবং 1=0; বিলম্বের জন্য অপেক্ষা করুন '00:00:10' — '," তিনি পোস্টে ব্যাখ্যা করেছেন। "আমরা প্রতিক্রিয়াতে 10-সেকেন্ডের বিলম্ব লক্ষ্য করেছি এবং জানতাম যে আমরা শোষণকে ট্রিগার করেছি।"
এই এসকিউএল ইনজেকশন দুর্বলতাকে RCE আক্রমণে পরিণত করতে, গবেষকরা হর্সম্যানের মতে, PoC তৈরি করতে Microsoft SQL সার্ভারের অন্তর্নির্মিত xp_cmdshell কার্যকারিতা ব্যবহার করেছেন। "প্রাথমিকভাবে, ডাটাবেসটি xp_cmdshell কমান্ড চালানোর জন্য কনফিগার করা হয়নি; যাইহোক, এটি কিছু অন্যান্য SQL বিবৃতি দিয়ে তুচ্ছভাবে সক্ষম করা হয়েছিল,” তিনি লিখেছেন।
এটা মনে রাখা গুরুত্বপূর্ণ যে PoC শুধুমাত্র xp_cmdshell ছাড়াই একটি সাধারণ SQL ইনজেকশন ব্যবহার করে দুর্বলতা নিশ্চিত করে; আক্রমণকারীর জন্য RCE সক্ষম করার জন্য, PoC অবশ্যই পরিবর্তন করতে হবে, হর্সম্যান যোগ করেছেন।
Fortinet-এ সাইবার হামলার র্যাম্প আপ; এখন প্যাচ
Fortinet বাগ হল জনপ্রিয় লক্ষ্য আক্রমণকারীদের জন্য, ক্রিস বয়েড হিসাবে, নিরাপত্তা সংস্থার স্টাফ রিসার্চ ইঞ্জিনিয়ার টেনেবল তার পরামর্শে সতর্ক করেছেন মূলত 14 মার্চ প্রকাশিত ত্রুটি সম্পর্কে। তিনি উদাহরণ হিসেবে ফোর্টিনেটের আরও কয়েকটি ত্রুটি উল্লেখ করেছেন — যেমন CVE-2023-27997, একাধিক Fortinet পণ্যে একটি সমালোচনামূলক হিপ-ভিত্তিক বাফার ওভারফ্লো দুর্বলতা, এবং CVE-2022-40684, FortiOS, FortiProxy এবং FortiSwitch ম্যানেজার প্রযুক্তিতে একটি প্রমাণীকরণ বাইপাস ত্রুটি - যা ছিল হুমকি অভিনেতাদের দ্বারা শোষিত. প্রকৃতপক্ষে, পরবর্তী বাগটি এমনকি আক্রমণকারীদের সিস্টেমে প্রাথমিক অ্যাক্সেস দেওয়ার উদ্দেশ্যে বিক্রি করা হয়েছিল।
“যেহেতু শোষণ কোড প্রকাশ করা হয়েছে এবং হুমকি অভিনেতাদের দ্বারা ফরটিনেট ত্রুটিগুলির অতীত অপব্যবহার সহ উন্নত ক্রমাগত হুমকি (এপিটি) অভিনেতা এবং জাতি-রাষ্ট্র গোষ্ঠী, আমরা যত তাড়াতাড়ি সম্ভব এই দুর্বলতার প্রতিকার করার সুপারিশ করছি,” Horizon.ai প্রকাশের পর বয়েড তার পরামর্শের একটি আপডেটে লিখেছেন।
Fortinet এবং CISA তাদের ক্লায়েন্টদেরও অনুরোধ করছে যারা প্রাথমিক পরামর্শ এবং PoC শোষণের মুক্তির মধ্যে সুযোগের উইন্ডোটি ব্যবহার করেনি প্যাচ সার্ভার অবিলম্বে এই সর্বশেষ ত্রুটি প্রবন.
ত্রুটিটি শোষণের অধীনে আছে কিনা তা সনাক্ত করতে সংস্থাগুলিকে সহায়তা করার জন্য, Horizon.ai-এর হর্সম্যান ব্যাখ্যা করেছেন কীভাবে একটি পরিবেশে আপস সূচক (IoCs) সনাক্ত করতে হয়। "C:Program Files (x86)FortinetFortiClientEMSlogs-এ বিভিন্ন লগ ফাইল রয়েছে যা অচেনা ক্লায়েন্ট বা অন্যান্য দূষিত কার্যকলাপের সংযোগের জন্য পরীক্ষা করা যেতে পারে," তিনি লিখেছেন। "কমান্ড এক্সিকিউশন পাওয়ার জন্য xp_cmdshell ব্যবহার করার প্রমাণের জন্য MS SQL লগগুলিও পরীক্ষা করা যেতে পারে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack
