Impacto mundial (en el momento de la difusión)
- Más de 130 hosts afectados globalmente
- ~70% de los hosts afectados globalmente con el puerto 8013 abierto (puerto por defecto para el servicio FcmDaemon explotado)
- Las versiones más comunes y vulnerables son 7.2.2 y 7.2.1
Principales países afectados:
1. EE.UU.
2. Alemania
3. India
4. China
5. Países Bajos
Resumen
Censys es consciente de que una vulnerabilidad de inyección SQL de Fortinet FortiClientEMS que permite la ejecución remota de código (RCE) fue publicada el 12 de marzo de 2024, actualizada el 25 de marzo de 2024 y actualmente está siendo explotada in the wild. Según Bleeping Computer, "permite a atacantes no autenticados obtener RCE con privilegios de SISTEMA en servidores no parcheados en ataques de baja complejidad que no requieren interacción del usuario" utilizando el servicio FcmDaemon de FortiClientEMS.
Impacto
Dado que "FortiClient EMS permite a los administradores gestionar puntos finales conectados a una red empresarial, permitiéndoles desplegar software FortiClient y asignar perfiles de seguridad en dispositivos Windows", el acceso a estos activos podría tener consecuencias para toda la empresa(Bleeping Computer). Junto con la barrera relativamente baja para la explotación y los casos reportados de explotación en la naturaleza, el impacto potencial y la probabilidad de ataques dirigidos a estos sistemas es significativa.
Activos afectados
Según el NVD, este problema afecta a las versiones 7.0 (7.0.1 a 7.0.10) y 7.2 (7.2.0 a 7.2.2) de FortiClientEMS.
CensysEl equipo de respuesta rápida pudo identificar
- Activos FortiClient EMS que tienen consolas web expuestas & muestran indicios de estar ejecutando el servicio FcmDaemon (aprovechado en este exploit) a través de las consultas Search y ASM listadas a continuación. Tenga en cuenta que no todos estos servicios pueden ser vulnerables: los administradores pueden utilizar estos datos para verificar las versiones de FortiClient EMS que tienen localmente.
- Específicamente las versiones vulnerables de FortiClientEMS (como se identifica en los avisos) a través del Nombre de riesgo para dispositivos potencialmente vulnerables que se enumeran a continuación para Censys ASM clientes.
Censys Nombre del riesgo ASM
'FortiClient EMS vulnerable [CVE-2023-48788]'
Censys Los clientes de ASM verán este riesgo aplicado a los activos afectados en sus espacios de trabajo. Aquellos que se hayan suscrito a la alerta de riesgos automatizada de respuesta rápida serán contactados directamente en relación con los activos afectados.
Censys Consulta ASM Esta consulta se comparte para los clientes que desean refinar o alterar el versionado para operaciones personalizadas.
Censys Consultas de búsqueda se comparten directamente con los clientes de Censys . Si desea obtener la consulta Censys para identificar instancias globales relacionadas con este problema, o necesita ayuda, póngase en contacto con nosotros.
Recomendaciones
de Fortinet indican que los propietarios de los activos deben actualizarse a las versiones que se indican a continuación:
Las versiones 7.2.0 a 7.2.2 de FortiClientEMS deben actualizarse a la versión 7.2.3 o superior.
Las versiones 7.0.1 a 7.0.10 de FortiClientEMS deben actualizarse a la versión 7.0.11 o superior.
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.
