正如預期的那樣， 網路攻擊者已經出擊 關鍵遠端程式碼執行 (RCE) Fortinet 企業管理伺服器 (EMS) 中的漏洞 該漏洞於上週修復，允許他們在受影響的系統上以系統管理員權限執行任意程式碼和命令。

缺陷，跟踪為 CVE-2024，48788 該漏洞的 CVSS 漏洞嚴重性評分為 9.3 分（滿分 10 分），是網路安全和基礎設施安全局 (CISA) 於 25 月 XNUMX 日添加到其漏洞嚴重性的三個漏洞之一 已知利用漏洞目錄，它追蹤主動利用的安全漏洞。飛塔，其中 警告用戶該缺陷 以及本月早些時候修補它，也悄悄更新了它 安全諮詢 注意它的利用。

具體來說，該缺陷是在 FortiClient EMS（FortiClient 中央管理控制台的 VM 版本）中發現的。它源自於一個 SQL注入錯誤 在伺服器的直連儲存元件中，並由伺服器和連接到它的端點之間的通訊激發。

根據Fortinet 的通報，「對SQL 命令中使用的特殊元素進行不當中和…FortiClientEMS 中的漏洞[CWE-89] 可能允許未經身份驗證的攻擊者透過專門設計的請求執行未經授權的程式碼或命令。”

CVE-2024-48788 的概念驗證漏洞利用

目前對該缺陷的利用是在上週發布的 概念驗證（PoC） 利用程式碼以及分析 Horizo​​n.ai 的研究人員 詳細說明如何利用該缺陷。

Horizo​​n.ai 研究人員發現，該缺陷在於負責與註冊端點用戶端通訊的伺服器主要服務（FcmDaemon.exe）如何與這些客戶端互動。預設情況下，該服務在連接埠 8013 上偵聽傳入的用戶端連接，研究人員使用該連接埠來開發 PoC。

與此服務互動的伺服器的其他元件是資料存取伺服器 FCTDas.exe，它負責將來自各種其他伺服器元件的請求轉換為 SQL 請求，然後與 Microsoft SQL Server 資料庫互動。

利用 Fortinet 缺陷

為了利用該缺陷，Horizo​​​​n.ai 研究人員首先透過配置安裝程式並部署基本端點用戶端來確定客戶端與 FcmDaemon 服務之間的典型通訊應是什麼樣子。

Horizo​​n.ai 漏洞利用開發人員James Horseman 解釋說：「我們發現端點客戶端和FcmDaemon.exe 之間的正常通訊是使用TLS 加密的，而且似乎沒有一種簡單的方法可以轉儲TLS 會話密鑰來解密合法流量。」在文中。

然後，團隊從服務日誌中收集了有關通訊的詳細信息，這為研究人員提供了足夠的資訊來編寫 Python 腳本來與 FcmDaemon 進行通訊。 Horseman 寫道，經過一番嘗試和錯誤，團隊能夠檢查訊息格式並啟用與 FcmDaemon 服務的「有意義的通訊」以觸發 SQL 注入。

「我們建立了一個簡單的睡眠有效負載，其形式為' 且 1=0；等待延遲'00:00:10' - '，」他在帖子中解釋道。 “我們注意到響應延遲了 10 秒，並知道我們已經觸發了該漏洞。”

Horseman 表示，為了將此 SQL 注入漏洞轉變為 RCE 攻擊，研究人員使用 Microsoft SQL Server 的內建 xp_cmdshell 功能來建立 PoC。 「最初，資料庫未配置為運行 xp_cmdshell 命令；然而，它可以透過其他一些 SQL 語句輕鬆啟用，」他寫道。

需要注意的是，PoC僅透過簡單的SQL注入來確認漏洞，沒有使用xp_cmdshell； Horseman 補充道，攻擊者要啟用 RCE，就必須更改 PoC。

Fortinet 上的網路攻擊加劇；立即修補

Fortinet bug 是熱門目標 對於攻擊者，正如安全公司研究工程師 Chris Boyd 所說 Tenable 在他的諮詢中警告說 關於該缺陷最初於 14 月 XNUMX 日發布。他引用了其他幾個 Fortinet 缺陷作為例子，例如 CVE-2023-27997， 多個 Fortinet 產品中存在一個嚴重的基於堆疊的緩衝區溢位漏洞，以及 CVE-2022-40684， FortiOS、FortiProxy 和 FortiSwitch Manager 技術中的身份驗證繞過缺陷 - 被威脅行為者利用。事實上，後一個錯誤甚至被出售，目的是讓攻擊者能夠初始存取系統。

「由於漏洞程式碼已經發布，並且威脅行為者過去濫用 Fortinet 缺陷，包括 進階持續性威脅 (APT) 參與者 博伊德在 Horizo​​​​n.ai 發布後的公告更新中寫道：“我們強烈建議國家和民族國家團體盡快修復此漏洞。”

Fortinet 和 CISA 也敦促那些沒有利用最初諮詢和 PoC 漏洞發布之間機會窗口的客戶 補丁伺服器 立即容易受到這個最新缺陷的影響。

為了幫助組織確定該缺陷是否正在被利用，Horizo​​n.ai 的 Horseman 解釋瞭如何識別環境中的妥協指標 (IoC)。 「C:Program Files (x86)FortinetFortiClientEMSlogs 中有各種日誌文件，可以檢查來自無法識別的客戶端的連接或其他惡意活動，」他寫道。 “也可以檢查 MS SQL 日誌，以查找 xp_cmdshell 被用來獲取命令執行的證據。”

• SEO 支持的內容和 PR 分發。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 賦予自己力量。 訪問這裡。
• 柏拉圖愛流。 Web3 智能。 知識放大。 訪問這裡。
• 柏拉圖ESG。 碳， 清潔科技, 能源， 環境， 太陽能， 廢物管理。 訪問這裡。
• 柏拉圖健康。 生物技術和臨床試驗情報。 訪問這裡。
• 資源： https://www.darkreading.com/cloud-security/patch-critical-fortinet-rce-bug-active-attack