Οπως αναμενόταν, κυβερνοεπιτιθέμενοι έχουν επιτεθεί σε μια κρίσιμη απομακρυσμένη εκτέλεση κώδικα (RCE) ευπάθεια στον διακομιστή Fortinet Enterprise Management (EMS) που διορθώθηκε την περασμένη εβδομάδα, επιτρέποντάς τους να εκτελούν αυθαίρετο κώδικα και εντολές με δικαιώματα διαχειριστή συστήματος στα επηρεαζόμενα συστήματα.

Το ελάττωμα, παρακολουθείται ως CVE-2024-48788 με βαθμολογία ευπάθειας-σοβαρότητας CVSS 9.3 στα 10, ήταν ένα από τα τρία που ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) πρόσθεσε στις 25 Μαρτίου στο Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών, το οποίο παρακολουθεί τα τρωτά σημεία ασφαλείας υπό ενεργή εκμετάλλευση. Fortinet, που προειδοποίησε τους χρήστες για το ελάττωμα καθώς και το επιδιορθώθηκε νωρίτερα αυτό το μήνα, επίσης ενημερώθηκε αθόρυβα σύμβουλο ασφάλειας να σημειωθεί η εκμετάλλευσή του.

Συγκεκριμένα, το ελάττωμα εντοπίζεται στο FortiClient EMS, την έκδοση VM της κεντρικής κονσόλας διαχείρισης της FortiClient. Προέρχεται από ένα Σφάλμα έγχυσης SQL σε ένα άμεσα συνδεδεμένο στοιχείο αποθήκευσης του διακομιστή και ωθείται από τις επικοινωνίες μεταξύ του διακομιστή και των τελικών σημείων που είναι συνδεδεμένα σε αυτόν.

"Μια ακατάλληλη εξουδετέρωση ειδικών στοιχείων που χρησιμοποιούνται σε μια εντολή SQL… η ευπάθεια [CWE-89] στο FortiClientEMS μπορεί να επιτρέψει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελέσει μη εξουσιοδοτημένο κώδικα ή εντολές μέσω ειδικά κατασκευασμένων αιτημάτων", σύμφωνα με τις συμβουλές της Fortinet.

Proof-of-Concept Exploit για CVE-2024-48788

Η τρέχουσα εκμετάλλευση του ελαττώματος ακολουθεί την κυκλοφορία την περασμένη εβδομάδα του α proof-of-concept (PoC) κώδικας εκμετάλλευσης καθώς και ανάλυση από ερευνητές στο Horizon.ai περιγράφοντας λεπτομερώς πώς μπορεί να εκμεταλλευτεί το ελάττωμα.

Οι ερευνητές του Horizon.ai ανακάλυψαν ότι το ελάττωμα έγκειται στον τρόπο με τον οποίο η κύρια υπηρεσία του διακομιστή που είναι υπεύθυνη για την επικοινωνία με εγγεγραμμένους πελάτες τελικού σημείου — FcmDaemon.exe — αλληλεπιδρά με αυτούς τους πελάτες. Από προεπιλογή, η υπηρεσία ακούει στη θύρα 8013 για εισερχόμενες συνδέσεις πελατών, τις οποίες χρησιμοποίησαν οι ερευνητές για την ανάπτυξη του PoC.

Άλλα στοιχεία του διακομιστή που αλληλεπιδρούν με αυτήν την υπηρεσία είναι ένας διακομιστής πρόσβασης δεδομένων, ο FCTDas.exe, ο οποίος είναι υπεύθυνος για τη μετάφραση αιτημάτων από διάφορα άλλα στοιχεία διακομιστή σε αιτήματα SQL για να αλληλεπιδράσει στη συνέχεια με τη βάση δεδομένων του Microsoft SQL Server.

Εκμετάλλευση του ελαττώματος Fortinet

Για να συνεχίσουν να εκμεταλλεύονται το ελάττωμα, οι ερευνητές του Horizon.ai καθόρισαν πρώτα πώς πρέπει να είναι οι τυπικές επικοινωνίες μεταξύ ενός πελάτη και της υπηρεσίας FcmDaemon διαμορφώνοντας ένα πρόγραμμα εγκατάστασης και αναπτύσσοντας έναν βασικό πελάτη τερματικού σημείου.

«Διαπιστώσαμε ότι οι κανονικές επικοινωνίες μεταξύ ενός προγράμματος-πελάτη τελικού σημείου και του FcmDaemon.exe είναι κρυπτογραφημένες με TLS και δεν φαινόταν να υπάρχει εύκολος τρόπος για την απόρριψη των κλειδιών περιόδου λειτουργίας TLS για την αποκρυπτογράφηση της νόμιμης κυκλοφορίας», εξήγησε ο προγραμματιστής του Horizon.ai, James Horseman. στο ταχυδρομείο.

Στη συνέχεια, η ομάδα συγκέντρωσε λεπτομέρειες από το αρχείο καταγραφής της υπηρεσίας σχετικά με τις επικοινωνίες, οι οποίες παρείχαν στους ερευνητές αρκετές πληροφορίες για να γράψουν ένα σενάριο Python για να επικοινωνήσουν με τον FcmDaemon. Μετά από κάποιες δοκιμές και σφάλματα, η ομάδα μπόρεσε να εξετάσει τη μορφή του μηνύματος και να επιτρέψει την «ουσιαστική επικοινωνία» με την υπηρεσία FcmDaemon για να ενεργοποιήσει μια ένεση SQL, έγραψε ο Horseman.

«Κατασκευάσαμε ένα απλό ωφέλιμο φορτίο ύπνου της φόρμας ' ΚΑΙ 1=0; ΑΝΑΜΟΝΗ ΚΑΘΥΣΤΕΡΗΣΗΣ '00:00:10′ — '», εξήγησε στην ανάρτηση. «Παρατηρήσαμε την καθυστέρηση 10 δευτερολέπτων ως απάντηση και ξέραμε ότι είχαμε ενεργοποιήσει το exploit».

Για να μετατρέψουν αυτήν την ευπάθεια SQL injection σε επίθεση RCE, οι ερευνητές χρησιμοποίησαν την ενσωματωμένη λειτουργία xp_cmdshell του Microsoft SQL Server για να δημιουργήσουν το PoC, σύμφωνα με τον Horseman. «Αρχικά, η βάση δεδομένων δεν είχε ρυθμιστεί για να εκτελεί την εντολή xp_cmdshell. Ωστόσο, ενεργοποιήθηκε επιπόλαια με μερικές άλλες δηλώσεις SQL», έγραψε.

Είναι σημαντικό να σημειωθεί ότι το PoC επιβεβαιώνει την ευπάθεια μόνο χρησιμοποιώντας μια απλή ένεση SQL χωρίς xp_cmdshell. Προκειμένου ένας εισβολέας να ενεργοποιήσει το RCE, το PoC πρέπει να αλλάξει, πρόσθεσε ο Horseman.

Οι κυβερνοεπιθέσεις αυξάνονται στο Fortinet. Patch Now

Τα σφάλματα Fortinet είναι δημοφιλείς στόχοι για τους επιτιθέμενους, όπως ο Chris Boyd, ερευνητής μηχανικός προσωπικού σε εταιρεία ασφαλείας Ο Τένιμπλ προειδοποίησε στη συμβουλή του σχετικά με το ελάττωμα που δημοσιεύθηκε αρχικά στις 14 Μαρτίου. Ανέφερε ως παραδείγματα πολλά άλλα ελαττώματα του Fortinet — όπως π.χ. CVE-2023-27997, μια κρίσιμη ευπάθεια υπερχείλισης buffer βασισμένη σε σωρό σε πολλά προϊόντα Fortinet και CVE-2022-40684, ένα ελάττωμα παράκαμψης ελέγχου ταυτότητας στις τεχνολογίες FortiOS, FortiProxy και FortiSwitch Manager — που ήταν εκμεταλλεύονται παράγοντες απειλών. Στην πραγματικότητα, το τελευταίο bug πωλήθηκε ακόμη και με σκοπό να δοθεί στους εισβολείς αρχική πρόσβαση στα συστήματα.

«Καθώς κυκλοφόρησε ο κώδικας εκμετάλλευσης και με προηγούμενη κατάχρηση ελαττωμάτων του Fortinet από παράγοντες απειλών, συμπεριλαμβανομένων συντελεστές προηγμένης επίμονης απειλής (APT). και ομάδες εθνικών κρατών, συνιστούμε ανεπιφύλακτα την αποκατάσταση αυτής της ευπάθειας το συντομότερο δυνατό», έγραψε ο Boyd σε μια ενημέρωση στη συμβουλή του μετά την κυκλοφορία του Horizon.ai.

Η Fortinet και η CISA προτρέπουν επίσης τους πελάτες που δεν χρησιμοποίησαν το παράθυρο ευκαιρίας μεταξύ της αρχικής συμβουλευτικής και της απελευθέρωσης του PoC exploit σε διακομιστές ενημέρωσης κώδικα ευάλωτο σε αυτό το τελευταίο ελάττωμα αμέσως.

Για να βοηθήσει τους οργανισμούς να εντοπίσουν εάν το ελάττωμα είναι υπό εκμετάλλευση, ο Horseman του Horizon.ai εξήγησε πώς να προσδιορίσετε δείκτες συμβιβασμού (IoC) σε ένα περιβάλλον. "Υπάρχουν διάφορα αρχεία καταγραφής στα C:Program Files (x86)FortinetFortiClientEMSlogs που μπορούν να εξεταστούν για συνδέσεις από μη αναγνωρισμένους πελάτες ή άλλη κακόβουλη δραστηριότητα", έγραψε. "Τα αρχεία καταγραφής MS SQL μπορούν επίσης να εξεταστούν για αποδεικτικά στοιχεία της χρήσης xp_cmdshell για την απόκτηση εκτέλεσης εντολών."

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack