Firma Fortinet naprawiła krytyczne luki w programie Wireless LAN Manager (FortiWLM), które mogą prowadzić do nieuwierzytelnionego zdalnego wykonania kodu (RCE) i ujawnienia poufnych informacji. Patche udostępniły adres CVE-2023-34990 I CVE-2023-48782które użyte razem mogą zapewnić atakującym nieautoryzowany dostęp. Eksperci podkreślają pilną potrzebę modernizacji swoich systemów przez klientów.
Fortinet łata krytyczne luki w programie Wireless LAN Manager
Zidentyfikowany błąd CVE-2023-34990 ma wynik CVSS na poziomie 9,6 i został po raz pierwszy ujawniony w marcu 2023 r. Jest on klasyfikowany jako „luka w zabezpieczeniach umożliwiająca nieuwierzytelniony ograniczony odczyt plików”. Zach Hanley, badacz bezpieczeństwa z Horizon3.ai, poinformował, że luka wynika z nieodpowiedniej weryfikacji danych wejściowych parametrów żądania. Ta luka umożliwia atakującym przeglądanie katalogów i dostęp do dowolnego pliku dziennika w systemie, co może potencjalnie ujawnić poufne informacje, takie jak identyfikatory sesji użytkownika. Dzienniki te są szczególnie szczegółowe w FortiWLM, co zwiększa ryzyko ich wykorzystania.
Krajowa baza danych o lukach (NVD) opisuje, w jaki sposób ta luka może prowadzić do wykonania nieautoryzowanego kodu za pośrednictwem specjalnie spreparowanych żądań internetowych. Wersje FortiWLM, których dotyczy problem, to 8.6.0 do 8.6.5, do których naprawiono poprawki w wersji 8.6.6 i nowszych, oraz 8.5.0 do 8.5.4, które zostały poprawione w wersji 8.5.5 lub nowszej. Biorąc pod uwagę znaczenie firmy Fortinet jako celu cyberataków, nie można przecenić konieczności szybkiego instalowania poprawek.
Botnet BADBOX infekuje ponad 192 000 urządzeń z systemem Android na całym świecie
Oprócz CVE-2023-34990, kluczową rolę w łańcuchu exploitów odgrywa również osobna luka CVE-2023-48782. Ta uwierzytelniona usterka polegająca na wstrzykiwaniu poleceń ma wynik CVSS wynoszący 8,8 i została załatana w poprzednim roku. Hanley zauważa, że w połączeniu z nieuwierzytelnioną luką osoba atakująca może wykonywać złośliwe polecenia z uprawnieniami roota, wprowadzając polecenia przez określony punkt końcowy, co jeszcze bardziej naraża system.
Kaspersky ma zgłoszone ciągłe wykorzystywanie innej luki w zabezpieczeniach FortiClient EMS firmy Fortinet CVE-2023-48788który ma wynik CVSS na poziomie 9,3. Ta luka w zabezpieczeniach umożliwiająca wstrzykiwanie kodu SQL umożliwia atakującym wysyłanie specjalnie spreparowanych pakietów danych, umożliwiając im wykonanie nieautoryzowanego kodu. Firma zajmująca się cyberbezpieczeństwem udokumentowała atak z października 2024 r., którego celem był serwer Windows obsługujący FortiClient EMS. W ataku wykorzystano otwarte porty w celu przejęcia kontroli nad serwerem, co doprowadziło do instalacji oprogramowania do zdalnego pulpitu, takiego jak AnyDesk i ScreenConnect.
Według doniesień po pierwszym włamaniu napastnicy przesłali dodatkowe ładunki umożliwiające ruch boczny, zbieranie danych uwierzytelniających i utrwalanie zaatakowanego systemu. Narzędzia użyte w tej kampanii obejmowały złośliwe oprogramowanie do odzyskiwania haseł i skanowania sieci, takie jak Mimikatz i netscan.exe. Odnotowano, że kampania była skierowana do różnych firm w wielu krajach, ukazując globalny zasięg i stopień zaawansowania tych cyberzagrożeń.
Kaspersky zaobserwował dalsze próby wykorzystania CVE-2023-48788, w tym wykonywanie skryptów PowerShell z zaatakowanych serwerów w celu zebrania odpowiedzi od innych podatnych celów. Wysiłki te wskazują na ewolucję metodologii ataków i ciągłe ryzyko dla organizacji korzystających z produktów Fortinet. Pierwsze ujawnienia firmy Forescout pojawiły się na początku roku zgłoszone podobny schemat wykorzystania obejmujący tę samą lukę w zabezpieczeniach w celu dostarczania narzędzi zdalnego dostępu.
Organizacje korzystające z systemów Fortinet muszą priorytetowo traktować modernizację i instalowanie poprawek swojego sprzętu, aby ograniczyć ryzyko związane z tymi lukami. Nadal nie jest jasne, w jakim stopniu te luki zostały już wykorzystane na całym świecie, dlatego administratorzy powinni zachować czujność.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
