Ερευνητές ασφαλείας κυκλοφόρησαν ένα proof-of-concept (PoC) exploit για μια κρίσιμη ευπάθεια στο λογισμικό FortiClient Enterprise Management Server (EMS) της Fortinet.
Η ευπάθεια παρακολουθείται ως CVE-2023-48788 και είναι ένα SQL injection bug στο DB2 Administration Server (DAS) component. Επηρεάζει τις εκδόσεις 7.0 (7.0.1 έως 7.0.10) και 7.2 (7.2.0 έως 7.2.2) του FortiClient EMS. Η εκμετάλλευσή της επιτρέπει σε μη εξουσιοδοτημένους χρήστες να πραγματοποιούν απομακρυσμένη εκτέλεση κώδικα (RCE) με προνόμια SYSTEM σε μη ενημερωμένους διακομιστές. Δεν απαιτείται αλληλεπίδραση με τον χρήστη.
Όταν η Fortinet ανακοίνωσε την ύπαρξη της ευπάθειας στο λογισμικό FortiClient EMS, δεν ανέφερε ότι είχε χρησιμοποιηθεί σε επιθέσεις. Όμως τώρα έχει ενημερώσει την προειδοποίηση και έχει προσθέσει ότι “η ευπάθεια γίνεται αντικείμενο εκμετάλλευσης“.
Δείτε επίσης: Hackers μπορούν να ξεκλειδώσουν πόρτες ξενοδοχείων μέσω των ευπαθειών Unsaflok
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Ωστόσο, η εταιρεία έχει κυκλοφορήσει ενημερώσεις ασφαλείας για την αντιμετώπιση της ευπάθειας από την περασμένη εβδομάδα.
Τώρα, ερευνητές ασφαλείας του Attack Team της Horizon3 δημοσίευσαν μια τεχνική ανάλυση και μοιράστηκαν ένα proof-of-concept (PoC) exploit που δείχνει εάν ένα σύστημα είναι ευάλωτο.
Όσοι θέλουν να χρησιμοποιήσουν τον κώδικα εκμετάλλευσης της Horizon3 σε επιθέσεις RCE, πρέπει να τροποποιήσουν το PoC για να χρησιμοποιήσουν τη διαδικασία xp_cmdshell του Microsoft SQL Server ώστε να δημιουργήσουν ένα Windows command shell για εκτέλεση κώδικα.
“Για να μετατρέψουμε αυτήν την ευπάθεια SQL injection σε απομακρυσμένη εκτέλεση κώδικα χρησιμοποιήσαμε την ενσωματωμένη λειτουργία xp_cmdshell του Microsoft SQL Server“, δήλωσε ο ερευνητής James Horseman.
Δείτε επίσης: Ευπάθεια στο chip της Apple διαρρέει κλειδιά κρυπτογράφησης
“Αρχικά, η βάση δεδομένων δεν είχε ρυθμιστεί για να εκτελεί την εντολή xp_cmdshell, ωστόσο ενεργοποιήθηκε με μερικά άλλα SQL statements“.
Σύμφωνα με τη Shodan, πάνω από 440 διακομιστές FortiClient EMS είναι εκτεθειμένοι στο διαδίκτυο, ενώ η υπηρεσία παρακολούθησης απειλών Shadowserver βρήκε περισσότερους από 300 (περισσότεροι στις ΗΠΑ).
Τα παραπάνω δείχνουν ότι η εφαρμογή των πιο πρόσφατων ενημερώσεων είναι κρίσιμη για την ασφάλεια των συστημάτων. Η μη εφαρμογή των επιδιορθώσεων της Fortinet επιτρέπει σε επιτιθέμενους να εκμεταλλευτούν τις ευπάθειες για να προκαλέσουν ζημιά ή να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.
Επιπλέον, η μη εφαρμογή ενημερώσεων θα μπορούσε ενδεχομένως να επηρεάσει τη λειτουργία του συστήματος. Οι επιθέσεις που εκμεταλλεύονται τις αδυναμίες μπορεί να προκαλέσουν σοβαρές διαταραχές, που μπορεί να περιλαμβάνουν την απώλεια δεδομένων ή την αδυναμία πρόσβασης στις υπηρεσίες.
Πέρα από την ενημέρωση του FortiClient EMS, είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για τους λογαριασμούς διαχείρισης. Αυτό μπορεί να βοηθήσει στην πρόληψη της παραβίασης των λογαριασμών από επιθέσεις brute force ή επιθέσεις dictionary.
Δείτε επίσης: Η Atlassian διόρθωσε κρίσιμη ευπάθεια στο Bamboo Data Center
Η χρήση ενός συστήματος προστασίας από εισβολές (IPS) μπορεί, επίσης, να βοηθήσει στην ανίχνευση και την αποτροπή των επιθέσεων RCE. Τα συστήματα IPS παρακολουθούν το δίκτυο για ύποπτη δραστηριότητα και μπορούν να μπλοκάρουν την επικοινωνία από και προς διευθύνσεις IP που είναι γνωστό ότι εμπλέκονται σε επιθέσεις RCE.
Τέλος, η εφαρμογή των αρχών της ελάχιστης πρόσβασης (Least Privilege) μπορεί να μειώσει την πιθανότητα επιτυχούς επίθεσης RCE. Αυτό σημαίνει ότι οι χρήστες και οι διαχειριστές πρέπει να έχουν μόνο τα προνόμια που χρειάζονται για να εκτελέσουν τα καθήκοντά τους και όχι περισσότερα.
Πηγή: www.bleepingcomputer.com