Ciberseguridad 360 | Exploit publicado para vulnerabilidad crítica en FortiClient EMS utilizado en ataques

Investigadores de seguridad han publicado un exploit de prueba de concepto (PoC) para una vulnerabilidad cr�tica en el software FortiClient Enterprise Management Server (EMS) de Fortinet, que ahora se explota activamente en ataques.

Identificado como CVE-2023-48788, este fallo de seguridad es una inyecci�n SQL en el componente DB2 Administration Server (DAS) descubierto y notificado por el National Cyber Security Centre (NCSC) del Reino Unido.

Afecta a las versiones 7.0 (7.0.1 a 7.0.10) y 7.2 (7.2.0 a 7.2.2) de FortiClient EMS, y permite a los actores de amenazas no autenticados obtener la ejecuci�n remota de c�digo (RCE) con privilegios de SISTEMA en servidores no parcheados en ataques de baja complejidad que no requieren la interacci�n del usuario.

"Una neutralizaci�n incorrecta de los elementos especiales utilizados en una vulnerabilidad de comando SQL ('SQL Injection') [CWE-89] en FortiClientEMS puede permitir a un atacante no autenticado ejecutar c�digo o comandos no autorizados a trav�s de peticiones espec�ficamente dise�adas", explica Fortinet en un aviso de seguridad publicado la semana pasada.

Aunque la compa��a no mencion� inicialmente que CVE-2023-48788 estaba siendo utilizado en los ataques, desde entonces ha actualizado silenciosamente el aviso para decir que la "vulnerabilidad es explotada en la naturaleza."

El jueves, una semana despu�s de que Fortinet publicara actualizaciones de seguridad para solucionar el fallo de seguridad, los investigadores de seguridad del equipo de ataque de Horizon3 publicaron un an�lisis t�cnico y compartieron un exploit de prueba de concepto (PoC) que ayuda a confirmar si un sistema es vulnerable sin proporcionar capacidades de ejecuci�n remota de c�digo.

Aquellos que quieran utilizar el c�digo de explotaci�n de Horizon3 en ataques RCE deben modificar el PoC para utilizar el procedimiento xp_cmdshell de Microsoft SQL Server para generar un shell de comandos de Windows para la ejecuci�n de c�digo.

"Para convertir esta vulnerabilidad de inyecci�n SQL en una ejecuci�n remota de c�digo, utilizamos la funcionalidad xp_cmdshell integrada en Microsoft SQL Server", explic� James Horseman, investigador de vulnerabilidades de Horizon3.

"Inicialmente, la base de datos no estaba configurada para ejecutar el comando xp_cmdshell, sin embargo se habilit� trivialmente con algunas otras sentencias SQL".

Shodan rastrea actualmente m�s de 440 servidores FortiClient Enterprise Management Server (EMS) expuestos en l�nea, mientras que el servicio de monitorizaci�n de amenazas Shadowserver encontr� m�s de 300, la mayor�a de ellos en Estados Unidos.

En febrero, Fortinet parche� otro fallo cr�tico RCE (CVE-2024-21762) en el sistema operativo FortiOS y el proxy web seguro FortiProxy, afirmando que "potencialmente estaba siendo explotado in the wild".

Sin embargo, al d�a siguiente, CISA confirm� que el fallo CVE-2024-21762 estaba siendo explotado activamente y orden� a las agencias federales que aseguraran sus dispositivos FortiOS y FortiProxy en un plazo de siete d�as.

Tambi�n vale la pena se�alar que las vulnerabilidades de seguridad de Fortinet se utilizan con frecuencia para obtener acceso no autorizado a redes corporativas para ataques de ransomware y campa�as de ciberespionaje, a menudo utilizando exploits de zero-day.

Fuente: bleepingcomputer