خانه » هشدار Fortinet نسبت به آسیب پذیری بحرانی SQLi در نرم افزار FortiClientEMS

هشدار Fortinet نسبت به آسیب پذیری بحرانی SQLi در نرم افزار FortiClientEMS

توسط Vulnerbyte
256 بازدید
آسیب ‌پذیری بحرانی در FortiClientEMS

Fortinet (فورتینت)، دوازدهم مارس ۲۰۲۴ طی گزارشی اعلام کرد که به تازگی یک آسیب ‌پذیری بحرانی را در نرم‌افزار سرور مدیریت سازمانی FortiClientEMS خود کشف و اصلاح کرده است. این نقص امنیتی می‌تواند به مهاجمان اجازه دهد تا امکان اجرای کد از راه دور (RCE) را بر روی سرورهای آسیب‌پذیر به دست آورند.

FortiClientEMS، اَدمین‌ها را قادر می‌سازد تا endpointهای متصل به یک شبکه سازمانی را مدیریت کنند و به آن‌ها اجازه می‌دهد نرم‌افزار FortiClient را مستقر کرده و پروفایل‌های امنیتی را در دستگاه‌های ویندوز اختصاص دهند.

این آسیب ‌پذیری که با شناسه CVE-2023-48788 دنبال می‌شود، یک آسیب ‌پذیری  SQL injection در کامپوننت DB2 Administration Server (DAS) است که توسط مرکز امنیت سایبری ملی بریتانیا (NCSC) و توسعه دهنده Fortinet، تیاگو سانتانا، کشف و گزارش شده است.

نسخه‌های زیر تحت تأثیر این آسیب پذیری قرار دارند:

  • FortiClientEMS 7.2.0 تا 7.2.2 (به روز رسانی به نسخه2.3 یا بالاتر)
  • FortiClientEMS 7.0.1 تا 7.0.10 (به روز رسانی به نسخه0.11 یا بالاتر)

این نقص امنیتی به مهاجمان احراز هویت نشده اجازه می‌دهد تا اجرای کد از راه دور را با سطح دسترسی SYSTEM بر روی سرورهای دارای آسیب پذیری و بدون نیاز به تعامل با کاربر به انجام رسانند.

خنثی سازی نادرست عناصر ویژه مورد استفاده در آسیب پذیری SQL Command (“SQL Injection”) [CWE-89] در FortiClientEMS ممکن است به مهاجم محرز نشده اجازه دهد تا کد یا دستورات غیرمجاز را از طریق درخواست‌های ساخته شده خاص اجرا کند.

Fortinet هنوز فاش نکرده است که آیا شواهدی دال بر سوء استفاده از CVE-2023-48788 یافته است یا خیر. تیم حمله Horizon3، سیزدهم مارس، شدت بحرانی این باگ را تایید کرد و اذعان داشت که هفته آینده کد اکسپلویت اثبات شده و یک بررسی فنی عمیق در خصوص آن را منتشر خواهد کرد.

این شرکت یکی دیگر از ضعف‌های مهم نوشتن خارج از محدوده (Out-of-bounds Write) با شناسه CVE-2023-42789  را در پورتال FortiOS و FortiProxy برطرف کرد که می‌توانست به یک مهاجم داخلی احرازهویت نشده اجازه دهد تا کد یا دستورات غیرمجاز را از راه دور با استفاده از درخواست‌های HTTP مخرب اجرا کند.

نسخه‌های FortiOS و FortiProxy زیر تحت تأثیر این آسیب پذیری قرار دارند:

  • FortiOS نسخه 7.4.0 تا 7.4.1 ( ارتقا به نسخه FortiOS 7.4.2 یا بالاتر)
  • FortiOS نسخه 7.2.0 تا 7.2.5 ( ارتقا به نسخه FortiOS 7.2.6 یا بالاتر)
  • FortiOS نسخه 7.0.0 تا 7.0.12 ( ارتقا به نسخه FortiOS 7.0.13 یا بالاتر)
  • FortiOS نسخه 6.4.0 تا 6.4.14 ( ارتقا به نسخه FortiOS 6.4.15 یا بالاتر)
  • FortiOS نسخه 6.2.0 تا 6.2.15 ( ارتقا به نسخه FortiOS 6.2.16 یا بالاتر)
  • FortiProxy نسخه 7.4.0 ( ارتقا به FortiProxy نسخه 7.4.1 یا بالاتر)
  • FortiProxy نسخه 7.2.0 تا 7.2.6 ( ارتقا به نسخه FortiProxy 7.2.7 یا بالاتر)
  • FortiProxy نسخه 7.0.0 تا 7.0.12 ( ارتقا به نسخه FortiProxy 7.0.13 یا بالاتر)
  • FortiProxy نسخه 2.0.0 تا 2.0.13 ( ارتقا به FortiProxy نسخه 2.0.14 یا بالاتر)

دو نقص دیگر با شدت بالا در این هفته اصلاح شدند. مورد اول یک کنترل دسترسی نامناسب (CVE-2023-36554) در FortiWLM MEA برای FortiManager و یک CSV injection  (CVE-2023-47534) در FortiClient EMS که به مهاجم اجازه می‌دهند تا دستورات یا کدهای دلخواه را بر روی سیستم های آسیب پذیر اجرا کند.

ماه گذشته، Fortinet یک باگ بحرانی اجرای کد از راه دور (CVE-2024-21762) را در سیستم عامل FortiOS و پروکسی وب امن FortiProxy فاش کرد که به طور بالقوه در حال اکسپلویت می‌باشد. CISA بهره برداری فعال CVE-2024-21762 را یک روز بعد تأیید کرد و به آژانس های فدرال دستور داد تا دستگاه های FortiOS و FortiProxy خود را ظرف هفت روز ایمن سازند.

نقص‌های Fortinet به طور منظم برای نفوذ به شبکه‌های شرکتی در حملات باج‌افزار و کمپین‌های جاسوسی سایبری (روز صفر) مورد سوء استفاده قرار می‌گیرند. به عنوان مثال، Fortinet در ماه فوریه فاش کرد که گروه هک چینی Volt Typhoon از دو نقص FortiOS SSL VPN  (CVE-2022-42475 و CVE-2023-27997) برای استقرار تروجان دسترسی از راه دور Coathanger استفاده کرده است که قبلاً برای ایجاد بکدور در شبکه نظامی وزارت دفاع هلند استفاده شده بود.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید