Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Beratung

29. März 2024: Fortinet FortiClientEMS RCE über SQL-Injection CVE-2023-48788

Globale Auswirkungen (zum Zeitpunkt der Verbreitung)

- 130+ Hosts weltweit betroffen
- ~70 % der weltweit betroffenen Hosts mit offenem Port 8013 (Standardport für den ausgenutzten FcmDaemon-Dienst)
- Die am meisten verbreiteten, anfälligen Versionen sind 7.2.2 und 7.2.1

Die am stärksten betroffenen Länder:
1. USA
2. Deutschland
3. Indien
4. China
5. Niederlande

Zusammenfassung

Censys ist sich bewusst, dass eine Fortinet FortiClientEMS SQL-Injection-Schwachstelle, die Remotecodeausführung (RCE) ermöglicht, am 12. März 2024 veröffentlicht und am 25. März 2024 aktualisiert wurde und derzeit in freier Wildbahn ausgenutzt wird. Laut Bleeping Computer"können nicht authentifizierte Angreifer mit Hilfe des FcmDaemon-Dienstes von FortiClientEMS RCE mit SYSTEM-Rechten auf ungepatchten Servern in Angriffen mit geringer Komplexität erlangen, die keine Benutzerinteraktion erfordern".

Aufprall

Da "FortiClient EMS es Administratoren ermöglicht, mit einem Unternehmensnetzwerk verbundene Endgeräte zu verwalten, FortiClient-Software bereitzustellen und Sicherheitsprofile auf Windows-Geräten zuzuweisen", könnte der Zugriff auf solche Geräte möglicherweise unternehmensweite Auswirkungen haben(Bleeping Computer). In Verbindung mit der relativ niedrigen Schwelle für eine Ausnutzung und den gemeldeten Fällen einer Ausnutzung in freier Wildbahn sind die potenziellen Auswirkungen und die Wahrscheinlichkeit von Angriffen auf diese Systeme erheblich.

Betroffene Vermögenswerte

Dem NVD zufolge betrifft dieses Problem die FortiClientEMS-Versionen 7.0 (7.0.1 bis 7.0.10) und 7.2 (7.2.0 bis 7.2.2).
CensysDas Rapid Response Team war in der Lage zu identifizieren:
- FortiClient EMS-Ressourcen, die Web-Konsolen offengelegt haben und Anzeichen für die Ausführung des FcmDaemon-Dienstes (der bei diesem Exploit genutzt wird) über die unten aufgeführten Search und die unten aufgeführten ASM-Abfragen. Beachten Sie, dass möglicherweise nicht alle diese Dienste anfällig sind: Administratoren können diese Daten verwenden, um die lokal installierten Versionen von FortiClient EMS zu überprüfen.
- Speziell anfällige Versionen von FortiClientEMS (wie in Advisories identifiziert) über den unten aufgeführten Risikonamen für potenziell anfällige Geräte für Censys ASM-Kunden.

Censys ASM-Risiko Name
Anfälliges FortiClient EMS [CVE-2023-48788]'.

Censys ASM-Kunden sehen dieses Risiko auf die betroffenen Assets in ihren Arbeitsbereichen angewendet. Diejenigen, die sich für Rapid Response Automated Risk Alerting angemeldet haben, werden bezüglich der betroffenen Anlagen direkt kontaktiert.

Censys ASM-Abfrage Diese Abfrage ist für Kunden gedacht, die die Versionierung für benutzerdefinierte Vorgänge verfeinern oder ändern möchten.

Censys Search Abfragen werden direkt an die Kunden von Censys weitergegeben. Wenn Sie die Abfrage Censys erhalten möchten, um globale Instanzen im Zusammenhang mit diesem Problem zu identifizieren, oder wenn Sie Hilfe benötigen, kontaktieren Sie uns bitte.

Empfehlungen für die Behebung

von Fortinet geben an, dass die Besitzer der Anlagen auf die unten aufgeführten Versionen aktualisieren sollten:

FortiClientEMS-Versionen 7.2.0 bis 7.2.2 sollten auf 7.2.3 oder höher aktualisiert werden.
FortiClientEMS-Versionen 7.0.1 bis 7.0.10 sollten auf 7.0.11 oder höher aktualisiert werden.

Wenn Sie Hilfe bei der eindeutigen Identifizierung dieser Vermögenswerte benötigen, lassen Sie es uns bitte wissen.

Lösungen für das Management von Angriffsflächen
Mehr erfahren