Los investigadores de seguridad han publicado detalles técnicos y una prueba de concepto de una vulnerabilidad crítica parcheada la semana pasada en la solución de gestión de seguridad de endpoints FortiClient Enterprise Management Server (FortiClient EMS) de Fortinet. La vulnerabilidad CVE-2023-48788, que Fortinet había notificado como de día cero según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, se estaba explotando activamente en el momento de la aplicación del parche, pero probablemente en ataques muy específicos.
La disponibilidad de la prueba de concepto reciente, incluso si no está armada, podría permitir una explotación más amplia y una adopción más fácil por parte de un mayor número de atacantes. La falla es resultado de una verificación incorrecta de elementos de un comando SQL, que podría explotarse en un escenario de inyección SQL para ejecutar código o comandos no autorizados en el EMS de FortiClient. Se recomienda a los clientes que actualicen a la versión 7.0.11 o posterior para la serie 7.0.x y a la versión 7.2.3 o posterior para la serie 7.2.x.
Una vulnerabilidad trivial de Fortinet que se puede explotar
FortiClient EMS es el componente del servidor central que se utiliza para gestionar los puntos finales que ejecutan FortiClient. Según los investigadores de Horizon3.ai (una empresa de pruebas de penetración) que reconstruyeron la vulnerabilidad, se encuentra en un componente llamado FCTDas.exe, o Data Access Server, que se comunica con la base de datos de Microsoft SQL Server para almacenar la información recibida de los puntos finales. Los puntos finales que ejecutan FortiClient se comunican con un componente EMS llamado FmcDaemon.exe en el puerto 8013 mediante un protocolo personalizado basado en texto, que luego se cifra con TLS para su protección. Luego, FmcDaemon.exe pasa la información a FCTDas.exe en forma de consultas SQL ejecutadas en la base de datos.
Los investigadores lograron crear un script de Python para interactuar con FmcDaemon.exe y enviar un mensaje simple para actualizar el FCTUID seguido de una carga útil de inyección SQL para activar un modo de suspensión de 10 segundos. Después de lo cual, observaron que la carga útil se pasaba a FCTDas.exe, lo que confirmaba la vulnerabilidad. “Para convertir esta vulnerabilidad de inyección SQL en una vulnerabilidad de ejecución de código remoto, utilizamos la funcionalidad xp_cmdshell incorporada de Microsoft SQL Server”, explicaron los investigadores en su informe técnico. “La base de datos no estaba configurada originalmente para ejecutar el comando xp_cmdshell. Sin embargo, se habilitó de manera trivial utilizando algunas otras declaraciones SQL”. Los investigadores dejaron intencionalmente la parte de ejecución de código xp_cmdshell fuera del exploit PoC, por lo que no se puede usar directamente sin modificaciones. Sin embargo, la técnica xp_cmdshell es bien conocida y ya se ha utilizado para atacar bases de datos de SQL Server, lo que significa que no es difícil implementar esta parte.
Defectos que atraen a los atacantes
En febrero, Fortinet solucionó otra vulnerabilidad crítica Vulnerabilidad de ejecución remota de código en el servicio SSL VPN del sistema operativo FortiOS utilizado en sus dispositivos. La vulnerabilidad, denominada CVE-2024-21762, también estuvo acompañada de una advertencia de que podría ser explotada en la red. La compañía también señaló que grupos de ciberespionaje chinos han explotado anteriormente vulnerabilidades FortiOS N-Day (que han estado en la red durante varios días) para atacar a proveedores de infraestructura crítica.
Esta semana, la Fundación Shadowserver, una organización que monitorea el tráfico malicioso de Internet, informó que estaba viendo intentos generalizados de explotación de CVE-2024-21762 después de que se lanzó un exploit, y que más de 133.000 dispositivos Fortinet expuestos a Internet seguían siendo vulnerables un mes después de que se aplicó el parche.
Otras noticias que te pueden interesar