PoC-эксплоит для FortiClient EMS в открытом доступе

Исследователи безопасности Horizon3 обнародовали PoC-эксплоит критической уязвимости Fortinet FortiClient EMS, которая в настоящее время активно используется хакерами, пишет Securitylab.

Уязвимость SQL-инъекции CVE-2023-48788 (оценка CVSS: 9.8) содержится в компоненте DB2 Administration Server (DAS) и затрагивает версии FortiClient EMS 7.0 (от 7.0.1 до 7.0.10) и 7.2 (от 7.2.0 до 7.2.2), позволяя неаутентифицированному злоумышленнику осуществлять удаленное выполнение кода (Remote Code Execution, RCE) с правами SYSTEM без взаимодействия с пользователем.

Изначально не сообщалось, обнаружила ли Fortinet доказательства использования ошибки в атака, но в последнем бюллетене по безопасности компания уточнила, что уязвимость эксплуатируется в реальных условиях.

Через неделю после выпуска исправлений Fortinet, исследователи безопасности из команды Horizon3 опубликовали технический анализ и поделились PoC-эксплойтом (Proof-of-Concept), который подтверждает уязвимость без предоставления возможности удаленного выполнения кода.

Для работы PoC-эксплоита в атаках с RCE нужно модифицировать PoC, чтобы использовать процедуру xp_cmdshell в Microsoft SQL Server в целях создания оболочки команд Windows для выполнения кода.

Сервисы Shodan и Shadowserver отмечают более 440 и 300 доступных в интернете серверов FortiClient EMS соответственно, большинство из которых расположены в США.

Стоит отметить, что уязвимости в продуктах Fortinet часто используются для получения несанкционированного доступа к корпоративным сетям с целью проведения атак с использованием программ-вымогателей и кибершпионажа, в том числе с применением эксплойтов нулевого дня.