Изследователи в областта на сигурността публикуваха доказателство за концептуален (PoC) експлойт за критична уязвимост в софтуера FortiClient Enterprise Management Server (EMS) на Fortinet, която вече активно се използва при атаки.
Проследен като CVE-2023-48788, този недостатък в сигурността представлява SQL инжекция в компонента DB2 Administration Server (DAS), открит и докладван от Националния център за киберсигурност (NCSC) на Обединеното кралство.
Той засяга версии 7.0 (7.0.1 до 7.0.10) и 7.2 (7.2.0 до 7.2.2) на FortiClient EMS и позволява на неавтентифицирани участници в заплахи да получат отдалечено изпълнение на код (RCE) с привилегии на SYSTEM на непоправени сървъри при атаки с ниска сложност, които не изискват взаимодействие с потребителя.
„Неправилното неутрализиране на специалните елементи, използвани в уязвимостта SQL Command („SQL Injection“) [CWE-89] във FortiClientEMS, може да позволи на неупълномощен нападател да изпълни неоторизиран код или команди чрез специално подготвени заявки“, обяснява Fortinet в консултация по сигурността, публикувана миналата седмица.
Въпреки че първоначално компанията не споменава, че CVE-2023-48788 се използва в атаките, оттогава тя тихомълком актуализира консултацията, за да каже, че „уязвимостта се използва в дивата природа“.
В четвъртък, една седмица след като Fortinet пусна актуализации на сигурността за отстраняване на пропуските в сигурността, изследователи по сигурността от екипа за атаки на Horizon3 публикуваха технически анализ и споделиха доказателство за концептуален (PoC) експлойт, който помага да се потвърди дали дадена система е уязвима, без да предоставя възможности за изпълнение на отдалечен код.
Тези, които искат да използват кода за експлойт на Horizon3 в RCE атаки, трябва да модифицират PoC, за да използват процедурата Microsoft SQL Server xp_cmdshell за създаване на команден шел на Windows за изпълнение на код.
„За да превърнем тази уязвимост в SQL инжектиране в отдалечено изпълнение на код, използвахме вградената функционалност xp_cmdshell на Microsoft SQL Server“, каза Джеймс Хорсман, изследовател на уязвимостите на Horizon3.
„Първоначално базата данни не беше конфигурирана да изпълнява командата xp_cmdshell, но тя беше тривиално активирана с няколко други SQL оператора.“
Понастоящем Shodan проследява над 440 сървъра FortiClient Enterprise Management Server (EMS), изложени на риск онлайн, докато услугата за наблюдение на заплахи Shadowserver е открила над 300, повечето от които в САЩ, но има и такива в Европа и дори България.
През февруари Fortinet закърпи друг критичен RCE бъг (CVE-2024-21762) в операционната система FortiOS и защитения уеб прокси сървър FortiProxy, като заяви, че той „потенциално се експлоатира в дивата природа“.
Още на следващия ден обаче CISA потвърди, че бъгът CVE-2024-21762 се експлоатира активно, и нареди на федералните агенции да защитят своите устройства FortiOS и FortiProxy в рамките на седем дни.
Заслужава да се отбележи също така, че уязвимостите в сигурността на Fortinet много често се използват за получаване на неоторизиран достъп до корпоративни мрежи за атаки с цел получаване на откуп и кампании за кибершпионаж, като често се използват експлойти от нулев ден.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.