Fortinet zasygnalizował istotną lukę bezpieczeństwa typu RCE (Remote Code Execution) w swoim oprogramowaniu do zarządzania punktami końcowymi, znanej jako FortiClient Enterprise Management Server (EMS). Ujawniona wada krytyczna została usunięta, a dotyczyła możliwości zdalnego wykonania kodu na narażonych serwerach przez atakujących.
Oprogramowanie FortiClient EMS umożliwia administratorom zarządzanie urządzeniami końcowymi w sieci przedsiębiorstwa, w tym wdrażanie systemu FortiClient oraz przypisywanie profilów bezpieczeństwa na urządzeniach z systemem Windows.
Zgłoszona wada bezpieczeństwa (CVE-2023-48788) to atak typu SQL injection w komponencie DB2 Administration Server (DAS), zidentyfikowany i zgłoszony przez Narodowe Centrum Cyberbezpieczeństwa Wielkiej Brytanii (NCSC) oraz dewelopera Fortinet, Thiago Santanę. Luka wpływa na wersje FortiClient EMS 7.0 (od 7.0.1 do 7.0.10) oraz 7.2 (od 7.2.0 do 7.2.2) i umożliwia nieuwierzytelnionym atakującym zdobycie RCE z uprawnieniami SYSTEM na niezaktualizowanych serwerach przy użyciu ataków o niskiej złożoności, nie wymagających interakcji użytkownika.
„Nieprawidłowa neutralizacja specjalnych elementów używanych w poleceniu SQL (‘SQL Injection’) w FortiClientEMS może umożliwić nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń poprzez specjalnie przygotowane żądania” – wyjaśniono w komunikacie dotyczącym bezpieczeństwa wydanym we wtorek. Fortinet nie podał, czy ma dowody na wykorzystanie CVE-2023-48788 w atakach przed jej załataniem.
Horizon3 Attack Team potwierdził dzisiaj krytyczną wagę błędu i zapowiedział publikację kodu wykorzystującego lukę oraz szczegółową analizę techniczną w przyszłym tygodniu.
The recent #Fortinet
#FortiClient Endpoint Management Server (EMS) SQL injection vulnerability, CVE-2023-48788, allows an unauth attacker to obtain RCE as SYSTEM on the server.
IOCs, POC, and deep-dive blog to be released next week. In the meantime, check DAS service logs for… pic.twitter.com/57ps2WiY8R
We wtorek firma naprawiła inną krytyczną słabość typu out-of-bounds write (CVE-2023-42789) w portalu FortiOS i FortiProxy, która mogła umożliwić nieuwierzytelnionemu „wewnętrznemu atakującemu” zdalne wykonanie nieautoryzowanego kodu lub poleceń na niezabezpieczonych urządzeniach dzięki złośliwie skonstruowanych żądań HTTP. Inne dwie wady o wysokiej wadze, nieprawidłowa kontrola dostępu (CVE-2023-36554) w FortiWLM MEA dla FortiManagera oraz iniekcja CSV (CVE-2023-47534) w FortiClient EMS, naprawione w tym tygodniu, umożliwiają atakującym wykonanie dowolnych poleceń lub kodu na narażonych systemach.
W zeszłym miesiącu Fortinet ujawnił krytyczną lukę RCE (CVE-2024-21762) w systemie operacyjnym FortiOS oraz w bezpiecznym proxy sieciowym FortiProxy, którą firma oznaczyła jako „potencjalnie wykorzystywaną w dzikiej naturze”. Dzień później CISA potwierdziła aktywne wykorzystanie CVE-2024-21762 i nakazała federalnym agencjom zabezpieczenie swoich urządzeń FortiOS i FortiProxy w ciągu siedmiu dni.
Luki Fortinet są regularnie wykorzystywane do naruszania sieci korporacyjnych w atakach ransomware i kampaniach szpiegowskich (często jako zero-day). Na przykład, w lutym Fortinet ujawnił, iż chińska grupa hakerska Volt Typhoon wykorzystała dwie luki SSL VPN FortiOS (CVE-2022-42475 i CVE-2023-27997) do wdrożenia malware Coathanger, specjalnie zaprojektowanego trojana do zdalnego dostępu (RAT), wcześniej używanego do zainfekowania sieci wojskowej holenderskiego Ministerstwa Obrony.
Fortinet to globalna korporacja technologiczna, specjalizująca się w rozwiązaniach bezpieczeństwa cybernetycznego, w tym w firewallach, oprogramowaniu antywirusowym, urządzeniach ochrony przed intruzami (IPS) oraz produktach zabezpieczających dostęp do sieci. Jej produkty i usługi mają na celu ochronę przedsiębiorstw, dostawców usług i rządów przed zaawansowanymi zagrożeniami i eksploatacją danych w dynamicznie zmieniającym się środowisku cybernetycznym.
