Exploit lançado para bug de RCE da Fortinet usado em ataques, atualize agora
22 de Março de 2024

Pesquisadores de segurança lançaram uma prova de conceito (PoC) para uma vulnerabilidade crítica no software FortiClient Enterprise Management Server (EMS) da Fortinet, que agora está sendo ativamente explorada em ataques.

Rastreada como CVE-2023-48788 , essa falha de segurança é uma injeção SQL no componente DB2 Administration Server (DAS) descoberta e relatada pelo National Cyber Security Centre (NCSC) do Reino Unido.

Ela afeta as versões 7.0 (7.0.1 a 7.0.10) e 7.2 (7.2.0 a 7.2.2) do FortiClient EMS, e permite que atores maliciosos não autenticados ganhem execução de código remoto (RCE) com privilégios de SISTEMA em servidores não corrigidos em ataques de baixa complexidade que não requerem interação do usuário.

"Uma impropriedade na neutralização de elementos especiais usados em um comando SQL ('SQL Injection') na vulnerabilidade do FortiClientEMS pode permitir que um invasor não autenticado execute código ou comandos não autorizados por meio de solicitações especificamente desenvolvidas", explica a Fortinet em um comunicado de segurança lançado na semana passada.

Embora a empresa não tenha inicialmente mencionado que o CVE-2023-48788 estava sendo usado em ataques, desde então atualizou silenciosamente o comunicado para dizer que a "vulnerabilidade está sendo explorada no ambiente digital".

Na quinta-feira, uma semana após a Fortinet lançar as atualizações de segurança para corrigir a falha, pesquisadores de segurança da equipe de ataque da Horizon3 publicaram uma análise técnica e compartilharam uma prova de conceito que ajuda a confirmar se um sistema é vulnerável sem fornecer recursos de execução de código remoto.

Aqueles que desejam usar o código de exploração da Horizon3 em ataques de RCE devem modificar a PoC para usar o procedimento xp_cmdshell do Microsoft SQL Server para gerar um shell de comando do Windows para a execução de código.

"Para transformar essa vulnerabilidade de injeção SQL em execução de código remoto, usamos a funcionalidade xp_cmdshell embutida do Microsoft SQL Server", disse o pesquisador de vulnerabilidades da Horizon3, James Horseman.

"Inicialmente, o banco de dados não estava configurado para executar o comando xp_cmdshell, no entanto, ele foi habilitado trivialmente com algumas outras instruções SQL."

Atualmente, o Shodan rastreia mais de 440 servidores FortiClient Enterprise Management Server (EMS) expostos online, enquanto o serviço de monitoramento de ameaças Shadowserver encontrou mais de 300, a maioria deles nos Estados Unidos.

Em fevereiro, a Fortinet corrigiu outro bug RCE crítico ( CVE-2024-21762 ) no sistema operacional FortiOS e no FortiProxy secure web proxy, dizendo que estava "potencialmente sendo explorado no ambiente digital".

No entanto, no dia seguinte, a CISA confirmou que o bug CVE-2024-21762 estava sendo ativamente explorado e orientou as agências federais a protegerem seus dispositivos FortiOS e FortiProxy dentro de sete dias.

Vale a pena notar que as vulnerabilidades de segurança da Fortinet são frequentemente usadas para obter acesso não autorizado às redes corporativas para ataques de ransomware e campanhas de espionagem cibernética, muitas vezes usando exploits de zero-day.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...