Investigadores de seguridad han publicado detalles técnicos y un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica parcheada recientemente en FortiClient Enterprise Management Server (FortiClient EMS) de Fortinet, una solución de gestión de seguridad de puntos finales.
La vulnerabilidad, rastreada como CVE-2023-48788, fue reportada a Fortinet como un día cero por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y fue explotada activamente en el momento del parche, pero probablemente en ataques muy dirigidos. La disponibilidad del nuevo PoC, aunque no se haya convertido en un arma, podría permitir una explotación más amplia y una adopción más fácil por parte de más grupos de atacantes.
El fallo es el resultado de una desinfección inadecuada de los elementos en un comando SQL, que podría ser explotado en un escenario de inyección SQL para ejecutar código no autorizado o comandos en el FortiClient EMS.
Acerca de la vulnerabilidad
Los investigadores de la entidad Horizon3.ai describen en una entrada de blog cómo se comunican entre sí los componentes clave de FortiClient EMS, una solución de gestión de endpoints empresariales, y cómo un atacante puede explotar esta cadena de conexiones para conseguir un RCE.
FmcDaemon.exe, el componente principal que se comunica con los puntos finales de clientes inscritos, escucha las solicitudes en el puerto 8013 y reenvía las solicitudes de operaciones de base de datos al servidor de acceso a datos FCTDas.exe. FCTDas.exe traduce estos mensajes en consultas SQL e interactúa con la base de datos Microsoft SQL Server.
Los investigadores descubrieron que los mensajes transmitidos entre FcmDaemon y FCTDas contenían un FCTUID como parte de la consulta a la base de datos. Mediante la elaboración de una solicitud que altera este FCTUID para incluir su propia entrada, y la transmisión de esta solicitud a través del puerto 8013, los investigadores fueron capaces de lograr la inyección SQL debido a la falta de desinfección de este elemento.
Además, demostraron cómo se podía lograr la RCE mediante la elaboración de la entrada inyectada para ejecutar código a través de la funcionalidad de shell de comandos incorporada (xp_cmdshell) de Microsoft SQL Server. Incluso cuando la base de datos no estaba configurada inicialmente para ejecutar comandos xp_cmdshell, se podían utilizar inyecciones SQL adicionales para habilitar esta función.
PoC lanzada para CVE-2023-48788
Entidades de ciberseguridad han detectado la creación de una página en GitHub anunciando un «nuevo exploit» para CVE-2023-48788, y ha enlazado a un post en SatoshiDisk.com, una plataforma web en la que los usuarios pueden subir archivos que quieren vender y otros usuarios pueden descargarlos si pagan el precio establecido.
El problema es que no hay forma de comprobar si el PoC es real o falso antes de comprarlo. Y sabemos que los estafadores y vendedores de malware han utilizado este mismo pretexto en el pasado para robar dinero y distribuir malware.
«Creo que la probabilidad de que el exploit vendido por [este vendedor] sea real es baja. Actualmente, no veo un exploit anunciado en ningún otro sitio», declaró a Help Net Security el Dr. Johannes Ullrich, fundador del SANS Internet Storm Center (ISC).
«Por otra parte, si se trata de un problema de inyección SQL relativamente sencillo, puede que la explotación no sea tan difícil, lo que también podría explicar el bajo precio».
También señaló que la vulnerabilidad no afecta a los dispositivos de puerta de enlace de Fortinet, sino a FortiClient EMS, cuyas instancias tienen menos probabilidades de ser accesibles a través de Internet. Según sitios como Shodan, sólo hay unos doscientos sistemas expuestos actualmente, señaló.
Los fallos de Fortinet atraen a los atacantes
En febrero, Fortinet parcheó otra vulnerabilidad crítica de ejecución remota de código en el servicio SSL VPN del sistema operativo FortiOS utilizado en sus dispositivos. Esa vulnerabilidad, rastreada como CVE-2024-21762, también venía con una advertencia de que era potencialmente explotada en la naturaleza. La empresa también advirtió de que grupos chinos de ciberespionaje habían explotado vulnerabilidades de FortiOS de día N en el pasado para atacar a organizaciones de infraestructuras críticas.
Esta semana, la Shadowserver Foundation, una organización que supervisa el tráfico malicioso de Internet, advirtió de que estaba observando intentos de explotación generalizados de CVE-2024-21762 después de que se publicara un exploit y advirtió de que más de 133.000 dispositivos Fortinet expuestos a Internet siguen siendo vulnerables un mes después del parche.
Acciones a tomar
Fortinet recomienda que todos los usuarios actualicen inmediatamente sus sistemas a las últimas versiones para abordar la vulnerabilidad. Además, debe comprobar periódicamente los registros de DAS en busca de solicitudes sospechosas que puedan indicar un intento de explotar la vulnerabilidad.
| Versión | Afectado | Solución |
| FortiOS 7.2 | 7.2.0 a 7.2.2 | Actualice a 7.2.3 o superior |
| FortiOS 7.4 | 7.0.1 a 7.0.10 | Actualice a 7.0.11 o superior |
Referencia:
