Fortinet a remediat o vulnerabilitate critică în software-ul său FortiClient Enterprise Management Server (EMS) care poate permite atacatorilor să obțină execuție de cod la distanță (RCE) pe serverele vulnerabile.
FortiClient EMS permite administratorilor să gestioneze echipamentele terminale conectate la o rețea de întreprindere, permițându-le să implementeze software-ul FortiClient și să atribuie profile de securitate dispozitivelor Windows.
Defectul de securitate (CVE-2023-48788) este o injectare SQL în componenta DB2 Administration Server (DAS), care a fost descoperită și raportată de Centrul Național de Securitate Cibernetică al Regatului Unit (NCSC) și dezvoltatorul Fortinet Thiago Santana.
Acesta afectează versiunile FortiClient EMS 7.0 (7.0.1 până la 7.0.10) și 7.2 (7.2.0 până la 7.2.2) și permite atacatorilor neautentificați să obțină RCE cu privilegii de SYSTEM pe serverele neactualizate în atacuri cu complexitate redusă care nu necesită interacțiunea utilizatorului.
„O neutralizare incorectă a elementelor speciale utilizate într-o comandă SQL (‘Injectare SQL’) vulnerabilitatea [CWE-89] în FortiClientEMS poate permite unui atacator neautentificat să execute coduri sau comenzi neautorizate prin intermediul unor cereri create în mod specific,” a explicat compania într-un aviz de securitate lansat marți.
Fortinet nu a dezvăluit dacă are vreo dovadă că CVE-2023-48788 a fost exploatat în atacuri înainte de remediere.
Echipa de Atac a Horizon3 a confirmat gravitatea critică a bug-ului astăzi și a declarat că vor publica un exploit de concept și o analiză tehnică detaliată săptămâna viitoare.
Marți, compania a remediat o altă vulnerabilitate critică de scriere în afara limitelor (CVE-2023-42789) în FortiOS și FortiProxy captive portal care ar putea permite unui „atacator din interior” neautentificat să execute în mod remote coduri sau comenzi neautorizate pe dispozitivele neactualizate folosind cereri HTTP create în mod malitios.
Alte două vulnerabilități cu severitate mare, un control de acces incorect (CVE-2023-36554) în FortiWLM MEA pentru FortiManager și o injectare CSV (CVE-2023-47534) în FortiClient EMS, remediate în această săptămână, permit actorilor de amenințare să execute comenzi sau coduri arbitrare pe sistemele vulnerabile.
Luna trecută, Fortinet a dezvăluit o vulnerabilitate critică de execuție de cod la distanță (RCE) (CVE-2024-21762) în sistemul de operare FortiOS și în proxy-ul web securizat FortiProxy, pe care compania l-a etichetat ca fiind „potențial exploatat în sălbăticie.”
O zi mai târziu, CISA a confirmat exploatarea activă a CVE-2024-21762 și a ordonat agențiilor federale să-și securizeze dispozitivele FortiOS și FortiProxy în termen de șapte zile.
Defectele Fortinet sunt exploatate în mod regulat pentru a sparge rețelele corporative în atacuri de ransomware și campanii de spionaj cibernetic (de multe ori ca zero days).
De exemplu, Fortinet a dezvăluit în februarie că grupul chinez de hackeri Volt Typhoon a folosit două vulnerabilități ale FortiOS SSL VPN (CVE-2022-42475 și CVE-2023-27997) pentru a implementa troianul de acces la distanță personalizat Coathanger folosit anterior pentru a sparge o rețea militară a Ministerului Apărării din Olanda.
Vulnerabilitatea critică Fortinet ar putea afecta 150.000 de dispozitive expuse
Exploatare disponibilă pentru o nouă vulnerabilitate critică de bypassare a autentificării TeamCity, remediați acum
Hackerii exploatează o vulnerabilitate critică de execuție de cod la distanță în constructorul de site-uri WordPress Bricks
ConnectWise îndeamnă administratorii ScreenConnect să remedieze o vulnerabilitate critică de execuție de cod la distanță
SolarWinds rezolvă vulnerabilități critice de execuție de cod la distanță în soluția de auditare a drepturilor de acces
Leave a Reply