Fortinet, uç nokta cihazlarını yönetmek için FortiClient Enterprise Management Server’da (EMS) kritik bir uzaktan kod yürütme (RCE) güvenlik açığını yamaladı.
Olarak tanımlanan kusur CVE-2024-48788, sunucunun doğrudan bağlanan depolama bileşenindeki bir SQL enjeksiyon hatasından kaynaklanmaktadır. Kimliği doğrulanmamış saldırganlara, özel hazırlanmış istekleri kullanarak, etkilenen sistemlerde sistem yöneticisi ayrıcalıklarıyla rastgele kod ve komutlar yürütmenin bir yolunu sunar.
Kritik Önemde Güvenlik Açığı
Fortinet, bu güvenlik açığına CVSS derecelendirme ölçeğinde 10 üzerinden 9,3 önem derecesi verdi ve Ulusal Güvenlik Açığı Veri Tabanı da bu güvenlik açığına neredeyse maksimum 9,8 puan verdi. Kusur, FortiClientEMS 7.2 ve FortiClientEMS 7.0’ın birden fazla sürümünde mevcut ve Fortinet, etkilenen sürümleri kullanan kuruluşlara yeni yamalı FortiClientEMS 7.2.3 veya üzeri ya da FortiClientEMS 7.0.11 veya üzeri sürümlere yükseltme yapmalarını tavsiye ediyor.
Satıcı, kusuru keşfettiği için FortiClientEMS geliştirme ekibinden ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nden (NCSC) bir araştırmacıya itibar etti.
Şirketin tavsiye niteliğindeki raporunda güvenlik açığıyla ilgili çok az ayrıntı veriliyordu. Ancak bu hafta Fortinet teknolojilerinde daha önce birden fazla hata bildiren Horizon3.ai araştırmacıları, bunların düzeltileceğini söyledi. uzlaşma göstergelerini yayınlabir kavram kanıtlama (PoC) istismarı ve hatanın teknik ayrıntıları gelecek hafta açıklanacak.
Şu ana kadar, kusuru hedef alan herhangi bir istismar faaliyeti rapor edilmedi. Ancak hatanın ve PoC’nin ayrıntıları önümüzdeki hafta kullanıma sunulduğunda bu durum hızla değişebilir; bu da kuruluşların, saldırılar başlamadan önce güvenlik açığını ele almak için nispeten küçük bir fırsat penceresine sahip olduğu anlamına gelir.
Popüler Saldırgan Hedefi
Tenable, “Fortinet cihazları, 2019’dan bu yana gözlenen birçok dikkate değer kusur nedeniyle saldırganlar tarafından sıklıkla hedef alınıyor” dedi. CVE-2024-48788 hakkında bir danışma belgesinde uyarıldı. Örnek olarak, güvenlik satıcısı şunu gösterdi: CVE-2023-27997, Fortinet’in FortiOS ve FortiProxy teknolojisinin birden fazla sürümünde kritik bir yığın tabanlı arabellek taşması güvenlik açığı ve CVE-2022-40684, FortiOS, FortiProxy ve FortiSwitch Manager teknolojilerinde bir tehdit aktörünün ilk erişim amacıyla sattığı bir kimlik doğrulama atlama kusuru.
“Fortinet cihazlarındaki diğer güvenlik açıkları Çok sayıda ulus devlet tehdit aktörünün dikkatini çekti Ve Conti gibi fidye yazılımı grupları. Fortinet’teki güvenlik açıkları şu şekilde dahil edilmiştir: rutin olarak en çok yararlanılan güvenlik açığı listelerinin bir parçası Son yıllarda” dedi Tenable.
Fortinet’teki güvenlik açıkları aynı zamanda ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve diğerlerinin güvenlik açıklarına ilişkin uyarılarında da yer aldı. ulus tarafından desteklenen tehdit aktörleri kampanyalarında sıklıkla istismar etmişlerdir. Bu uyarılardan en yenisi, Volt Typhoon ve diğer Çin destekli tehdit gruplarının içeri girip girme çabalarıyla ilgiliydi. kalıcı erişimi sürdür Açık ABD kritik altyapı ağları.
Yamalanmamış İki Fortinet Hatası
Bu arada ayrı bir gelişme olarak Horizon3.ai’deki araştırmacılar bu hafta halka açıldı. 16 kusur hakkında daha fazla ayrıntı açıkladı 2023’te Fortinet’e rapor verdiler; şirket bunların ikisi dışında hepsini zaten yamaladı. Horizon’un bazıları kritik olarak tanımladığı kusurlar, Fortinet’in Kablosuz LAN Yöneticisi (WLM) ve FortiSIEM teknolojilerini etkiliyor. Güvenlik açıkları arasında SQL enjeksiyon sorunları, komut enjeksiyon kusurları ve rastgele dosya okumaya olanak tanıyanlar yer alıyor.
Horizon3.ai’nin bu hafta blogunda vurguladığı güvenlik açıkları arasında şunlar yer alıyor: CVE-2023-34993; CVE-2023-34991; CVE-2023-42783; Ve CVE-2023-48782.
Horizon3.ai’ye göre CVE-2023-34993, kimliği doğrulanmamış bir saldırganın özel hazırlanmış istekleri kullanarak etkilenen uç noktalarda rastgele kod yürütmesine olanak tanıyor. CVE-2023-34991, saldırganlara Fortinet WLM’deki yerleşik resim listeleme işlevine erişme ve onu kötüye kullanma yolu sağlayan, kimliği doğrulanmamış bir SQL enjeksiyon güvenlik açığıdır; CVE-2023-48782 bir komut ekleme hatasıdır; ve CVE-2023-42783, kimliği doğrulanmamış bir saldırının, etkilenen sistemlerdeki dosyaları rastgele okumasına olanak tanır.
Horizon3.ai, 13 Mart 2024 itibarıyla yama yapılmadan kalan iki güvenlik açığını, kimliği doğrulanmamış sınırlı günlük dosyası okuma hatası ve statik oturum kimliği güvenlik açığı olarak tanımladı.