Fortinet (فورتینت)، دوازدهم مارس ۲۰۲۴ طی گزارشی اعلام کرد که به تازگی یک آسیب پذیری بحرانی را در نرمافزار سرور مدیریت سازمانی FortiClientEMS خود کشف و اصلاح کرده است. این نقص امنیتی میتواند به مهاجمان اجازه دهد تا امکان اجرای کد از راه دور (RCE) را بر روی سرورهای آسیبپذیر به دست آورند.
FortiClientEMS، اَدمینها را قادر میسازد تا endpointهای متصل به یک شبکه سازمانی را مدیریت کنند و به آنها اجازه میدهد نرمافزار FortiClient را مستقر کرده و پروفایلهای امنیتی را در دستگاههای ویندوز اختصاص دهند.
این آسیب پذیری که با شناسه CVE-2023-48788 دنبال میشود، یک آسیب پذیری SQL injection در کامپوننت DB2 Administration Server (DAS) است که توسط مرکز امنیت سایبری ملی بریتانیا (NCSC) و توسعه دهنده Fortinet، تیاگو سانتانا، کشف و گزارش شده است.
نسخههای زیر تحت تأثیر این آسیب پذیری قرار دارند:
- FortiClientEMS 7.2.0 تا 7.2.2 (به روز رسانی به نسخه2.3 یا بالاتر)
- FortiClientEMS 7.0.1 تا 7.0.10 (به روز رسانی به نسخه0.11 یا بالاتر)
این نقص امنیتی به مهاجمان احراز هویت نشده اجازه میدهد تا اجرای کد از راه دور را با سطح دسترسی SYSTEM بر روی سرورهای دارای آسیب پذیری و بدون نیاز به تعامل با کاربر به انجام رسانند.
خنثی سازی نادرست عناصر ویژه مورد استفاده در آسیب پذیری SQL Command (“SQL Injection”) [CWE-89] در FortiClientEMS ممکن است به مهاجم محرز نشده اجازه دهد تا کد یا دستورات غیرمجاز را از طریق درخواستهای ساخته شده خاص اجرا کند.
Fortinet هنوز فاش نکرده است که آیا شواهدی دال بر سوء استفاده از CVE-2023-48788 یافته است یا خیر. تیم حمله Horizon3، سیزدهم مارس، شدت بحرانی این باگ را تایید کرد و اذعان داشت که هفته آینده کد اکسپلویت اثبات شده و یک بررسی فنی عمیق در خصوص آن را منتشر خواهد کرد.
این شرکت یکی دیگر از ضعفهای مهم نوشتن خارج از محدوده (Out-of-bounds Write) با شناسه CVE-2023-42789 را در پورتال FortiOS و FortiProxy برطرف کرد که میتوانست به یک مهاجم داخلی احرازهویت نشده اجازه دهد تا کد یا دستورات غیرمجاز را از راه دور با استفاده از درخواستهای HTTP مخرب اجرا کند.
نسخههای FortiOS و FortiProxy زیر تحت تأثیر این آسیب پذیری قرار دارند:
- FortiOS نسخه 7.4.0 تا 7.4.1 ( ارتقا به نسخه FortiOS 7.4.2 یا بالاتر)
- FortiOS نسخه 7.2.0 تا 7.2.5 ( ارتقا به نسخه FortiOS 7.2.6 یا بالاتر)
- FortiOS نسخه 7.0.0 تا 7.0.12 ( ارتقا به نسخه FortiOS 7.0.13 یا بالاتر)
- FortiOS نسخه 6.4.0 تا 6.4.14 ( ارتقا به نسخه FortiOS 6.4.15 یا بالاتر)
- FortiOS نسخه 6.2.0 تا 6.2.15 ( ارتقا به نسخه FortiOS 6.2.16 یا بالاتر)
- FortiProxy نسخه 7.4.0 ( ارتقا به FortiProxy نسخه 7.4.1 یا بالاتر)
- FortiProxy نسخه 7.2.0 تا 7.2.6 ( ارتقا به نسخه FortiProxy 7.2.7 یا بالاتر)
- FortiProxy نسخه 7.0.0 تا 7.0.12 ( ارتقا به نسخه FortiProxy 7.0.13 یا بالاتر)
- FortiProxy نسخه 2.0.0 تا 2.0.13 ( ارتقا به FortiProxy نسخه 2.0.14 یا بالاتر)
دو نقص دیگر با شدت بالا در این هفته اصلاح شدند. مورد اول یک کنترل دسترسی نامناسب (CVE-2023-36554) در FortiWLM MEA برای FortiManager و یک CSV injection (CVE-2023-47534) در FortiClient EMS که به مهاجم اجازه میدهند تا دستورات یا کدهای دلخواه را بر روی سیستم های آسیب پذیر اجرا کند.
ماه گذشته، Fortinet یک باگ بحرانی اجرای کد از راه دور (CVE-2024-21762) را در سیستم عامل FortiOS و پروکسی وب امن FortiProxy فاش کرد که به طور بالقوه در حال اکسپلویت میباشد. CISA بهره برداری فعال CVE-2024-21762 را یک روز بعد تأیید کرد و به آژانس های فدرال دستور داد تا دستگاه های FortiOS و FortiProxy خود را ظرف هفت روز ایمن سازند.
نقصهای Fortinet به طور منظم برای نفوذ به شبکههای شرکتی در حملات باجافزار و کمپینهای جاسوسی سایبری (روز صفر) مورد سوء استفاده قرار میگیرند. به عنوان مثال، Fortinet در ماه فوریه فاش کرد که گروه هک چینی Volt Typhoon از دو نقص FortiOS SSL VPN (CVE-2022-42475 و CVE-2023-27997) برای استقرار تروجان دسترسی از راه دور Coathanger استفاده کرده است که قبلاً برای ایجاد بکدور در شبکه نظامی وزارت دفاع هلند استفاده شده بود.
