Af Eskil Sørensen, 22/03/24
Researchere har offentliggjort en proof-of-concept (PoC) udnyttelse til en kritisk sårbarhed i Fortinets FortiClient Enterprise Management Server (EMS) software.
Det skriver Bleeping Computer.
Sårbarheden har id’et CVE-2023-48788 og er en SQL-injektion i DB2 Administration Server (DAS)-komponenten. Den blev i sin tid opdaget og rapporteret af Storbritanniens National Cyber Security Center (NCSC). Fejlen har en score på 9,8 på CVSS-skalaen og påvirker FortiClient EMS version 7.0 (7.0.1 til 7.0.10) og 7.2 (7.2.0 til 7.2.2). Den gør det muligt for uautentificerede trusselsaktører at fjernafvikle kode (RCE) med SYSTEM-rettigheder på upatchede servere. Angrebskompleksiteten er lav, da den ikke kræver brugerinteraktion.
I første omgang var der ifølge Fortinet ikke tale om udnyttelser af CVE-2023-48788, men det er siden blevet ændret.
Ugen efter, at Fortinet udgav sikkerhedsopdateringer for at løse sikkerhedsfejlen, offentliggjorde sikkerhedsresearchere fra Horizon3's Attack Team således en teknisk analyse og delte en proof-of-concept (PoC) udnyttelse.
Bleeping Computer har kigget i Shodans opgørelser, og her fremgår det, at der pt. er over 440 FortiClient Enterprise Management Server (EMS)-servere eksponeret online. Shadowservers overvågningsløsning har fundet mere end 300, hvoraf de fleste er i USA.
Senest Fortinet var i vælten var i forbindelse med en anden kritisk RCE-fejl (CVE-2024-21762) i FortiOS-operativsystemet og FortiProxy sikker web-proxy og sagde, at den "potentielt blev udnyttet i naturen."
Allerede dagen efter bekræftede CISA, at CVE-2024-21762-fejlen blev aktivt udnyttet.
Forticlient EMS er en løsning, der muliggør skalerbar og centraliseret styring af flere endpoints (computere).