CVE-2023-48788: Fortinet и невидимые взломщики в битве за системные привилегии

Компания Fortinet выпустила обновление, устраняющее критическую уязвимость в программном обеспечении FortiClient Enterprise Management Server (EMS). Это проблема позволяла злоумышленникам удаленно выполнять код на уязвимых серверах.

FortiClient EMS предоставляет администраторам инструменты для контроля устройств в корпоративной сети, а также позволяет устанавливать FortiClient и настраивать политики безопасности на компьютерах с Windows.

Обнаруженная уязвимость, получившая идентификатор CVE-2023-48788 , представляет собой SQL-инъекцию в компоненте DB2 Administration Server (DAS). Дефект был обнаружен Национальным центром кибербезопасности Великобритании (NCSC) и разработчиком из Fortinet, Тьяго Сантана.

Угроза касается версий FortiClient EMS 7.0 (с 7.0.1 по 7.0.10) и 7.2 (с 7.2.0 по 7.2.2). Для осуществления атаки не требуется взаимодействия с пользователем, и она довольно проста в реализации.

Не сообщается, обнаружила ли Fortinet доказательства использования CVE-2023-48788 в дикой природе до выпуска патча.

Команда Horizon3 подтвердила критическую серьезность ошибки сегодня и объявила, что на следующей неделе опубликует код эксплойта для демонстрации и подробный технический обзор.

Во вторник компания исправила еще одну критическую уязвимость — ошибку, связанную с записью данных за пределы выделенного массива ( CVE-2023-42789 ), обнаруженную в системе аутентификации FortiOS и FortiProxy. Эта проблема могла позволить неавторизованным лицам, уже находящимся внутри сети, удаленно запускать произвольный код или команды на устройствах без последних обновлений, используя специально сформированные HTTP-запросы.

Недавно были устранены еще две уязвимости высокой степени серьезности: ненадлежащий контроль доступа ( CVE-2023-36554 ) в FortiWLM MEA для FortiManager и инъекция CSV ( CVE-2023-47534 ) в FortiClient EMS.

В прошлом месяце Fortinet раскрыла критическую RCE-уязвимость ( CVE-2024-21762 ) в операционной системе FortiOS и защищенном веб-прокси FortiProxy, которую компания пометила как «потенциально эксплуатируемую в дикой природе».

На следующий день CISA подтвердила активное использование CVE-2024-21762 и приказала федеральным агентствам обеспечить безопасность своих устройств FortiOS и FortiProxy в течение семи дней.

Уязвимости Fortinet регулярно эксплуатируются для проникновения в корпоративные сети в рамках вымогательских атак и шпионских операций (часто как нулевые дни).

Например, в феврале Fortinet сообщила, что китайская хакерская группа Volt Typhoon использовала две уязвимости SSL VPN в FortiOS ( CVE-2022-42475 и CVE-2023-27997 ) для развертывания RAT Coathanger, ранее использованного для создания бэкдора в сети Министерства обороны Нидерландов.