予想通り、 サイバー攻撃者が襲い掛かってきた 重要なリモートコード実行 (RCE) について フォーティネット エンタープライズ管理サーバー (EMS) の脆弱性 これには先週パッチが適用され、影響を受けるシステム上でシステム管理者権限で任意のコードやコマンドを実行できるようになりました。
として追跡された欠陥 CVE-2024-48788 CVSS 脆弱性重大度スコアは 9.3 点中 10 で、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) が 25 月 XNUMX 日に脆弱性重大度スコアに追加した XNUMX つのうちの XNUMX つでした。 既知の悪用された脆弱性カタログ、アクティブなエクスプロイトの下でセキュリティの脆弱性を追跡します。フォーティネット、 ユーザーに欠陥について警告した 今月初めにパッチを適用しただけでなく、静かにアップデートも行いました セキュリティ勧告 その悪用に注意してください。
具体的には、この欠陥は FortiClient の中央管理コンソールの VM バージョンである FortiClient EMS で見つかりました。それは、 SQLインジェクションエラー サーバーの直接接続されたストレージ コンポーネント内にあり、サーバーとサーバーに接続されているエンドポイント間の通信によって促進されます。
フォーティネットのアドバイザリーによると、「SQL コマンドで使用される特殊な要素の不適切な無効化…FortiClientEMS の脆弱性 [CWE-89] により、認証されていない攻撃者が特別に作成されたリクエストを介して不正なコードやコマンドを実行できる可能性があります。」
CVE-2024-48788 の概念実証エクスプロイト
この欠陥の現在の悪用は、先週のリリースに続いて行われています。 概念実証(PoC) エクスプロイトコードと分析 Horizon.ai の研究者 この欠陥が悪用される方法を詳しく説明します。
Horizon.ai の研究者は、登録されたエンドポイント クライアントとの通信を担当するサーバーの主要サービス (FcmDaemon.exe) がそれらのクライアントと対話する方法に欠陥があることを発見しました。デフォルトでは、サービスはポート 8013 で着信クライアント接続をリッスンします。研究者はこれを PoC の開発に使用しました。
このサービスと対話するサーバーの他のコンポーネントは、データ アクセス サーバー FCTDas.exe です。これは、他のさまざまなサーバー コンポーネントからの要求を SQL 要求に変換して、Microsoft SQL Server データベースと対話する役割を果たします。
フォーティネットの欠陥の悪用
この欠陥を悪用するために、Horizon.ai の研究者はまず、インストーラーを構成し、基本的なエンドポイント クライアントを展開することにより、クライアントと FcmDaemon サービス間の一般的な通信がどのようなものであるかを確立しました。
Horizon.ai エクスプロイト開発者の James Horseman 氏は、「エンドポイント クライアントと FcmDaemon.exe 間の通常の通信は TLS で暗号化されていることがわかりました。TLS セッション キーをダンプして正規のトラフィックを復号化する簡単な方法はないようです」と説明しました。ポストで。
次に、チームは通信に関するサービスのログから詳細を収集し、研究者が FcmDaemon と通信するための Python スクリプトを作成するのに十分な情報を提供しました。試行錯誤の末、チームはメッセージ形式を調査し、SQL インジェクションをトリガーする FcmDaemon サービスとの「意味のある通信」を可能にすることができたと、Horseman 氏は書いています。
「私たちは次の形式の単純なスリープ ペイロードを構築しました。 ' AND 1=0;待機遅延「00:00:10' — '」と彼は投稿で説明した。 「私たちは応答が 10 秒遅れていることに気づき、エクスプロイトを引き起こしたことに気づきました。」
Horseman 氏によると、この SQL インジェクションの脆弱性を RCE 攻撃に変えるために、研究者らは Microsoft SQL Server に組み込まれている xp_cmdshell 機能を使用して PoC を作成しました。 「当初、データベースは xp_cmdshell コマンドを実行するように構成されていませんでした。ただし、他のいくつかの SQL ステートメントを使用すると簡単に有効になりました」と彼は書いています。
PoC では、xp_cmdshell を使用せずに単純な SQL インジェクションを使用してのみ脆弱性を確認していることに注意することが重要です。攻撃者が RCE を有効にするには、PoC を変更する必要があるとホースマン氏は付け加えました。
フォーティネットに対するサイバー攻撃が激化。今すぐパッチを適用する
フォーティネットのバグはよくあるターゲットです 攻撃者向け、セキュリティ会社のスタッフリサーチエンジニア、クリス・ボイド氏 テナブルは勧告で警告した 14 月 XNUMX 日に最初に公開されたこの欠陥について彼は例として、他のいくつかのフォーティネットの欠陥を挙げました。 CVE-2023-27997、 複数のフォーティネット製品に存在する重大なヒープベースのバッファ オーバーフローの脆弱性、および CVE-2022-40684、 FortiOS、FortiProxy、および FortiSwitch Manager テクノロジーにおける認証バイパスの欠陥 - 脅威アクターによって悪用される。実際、後者のバグは、攻撃者にシステムへの最初のアクセスを与える目的でさえ販売されました。
「エクスプロイトコードがリリースされ、過去には以下のような脅威アクターによるフォーティネットの欠陥の悪用があったため、 Advanced Persistent Threat (APT) アクター および国民国家グループに対し、できるだけ早くこの脆弱性を修正することを強くお勧めします」とボイド氏は Horizon.ai リリース後の勧告の更新で書いています。
フォーティネットと CISA はまた、最初の勧告から PoC エクスプロイトのリリースまでの機会を利用しなかった顧客に対し、 パッチサーバー この最新の欠陥に対してすぐに脆弱になります。
組織が欠陥が悪用されているかどうかを特定できるように、Horizon.ai の Horseman 氏は、環境内の侵害の痕跡 (IoC) を特定する方法を説明しました。 「C:Program Files (x86)FortinetFortiClientEMSlogs にはさまざまなログ ファイルがあり、認識できないクライアントからの接続やその他の悪意のあるアクティビティを調べることができます」と同氏は書いています。 「MS SQL ログを調べて、xp_cmdshell がコマンドの実行を取得するために利用された証拠を調べることもできます。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack