Impact mondial (au moment de la diffusion)
- Plus de 130 hôtes touchés au niveau mondial
- ~70% des hôtes affectés au niveau mondial ont le port 8013 ouvert (port par défaut pour le service FcmDaemon exploité)
- Les versions les plus courantes et les plus vulnérables sont les versions 7.2.2 et 7.2.1.
Principaux pays touchés:
1. ÉTATS-UNIS
2. Allemagne
3. Inde
4. La Chine
5. Les Pays-Bas
Résumé
Censys est conscient qu'une vulnérabilité d'injection SQL de Fortinet FortiClientEMS permettant l'exécution de code à distance (RCE) a été publiée le 12 mars 2024, mise à jour le 25 mars 2024 et est actuellement exploitée dans la nature. Selon Bleeping Computer, "elle permet à des attaquants non authentifiés d'obtenir une exécution de code à distance avec les privilèges SYSTEM sur des serveurs non corrigés dans le cadre d'attaques peu complexes ne nécessitant pas d'interaction avec l'utilisateur" en utilisant le service FcmDaemon de FortiClientEMS.
Impact
Étant donné que "FortiClient EMS permet aux administrateurs de gérer les terminaux connectés à un réseau d'entreprise, ce qui leur permet de déployer le logiciel FortiClient et d'attribuer des profils de sécurité sur les appareils Windows", l'accès à ces actifs pourrait avoir des conséquences à l'échelle de l'entreprise(Bleeping Computer). Si l'on ajoute à cela l'obstacle relativement faible à l'exploitation et les cas signalés d'exploitation dans la nature, l'impact potentiel et la probabilité d'attaques ciblant ces systèmes sont importants.
Actifs touchés
Selon la NVD, ce problème affecte les versions 7.0 (7.0.1 à 7.0.10) et 7.2 (7.2.0 à 7.2.2) de FortiClientEMS.
CensysL'équipe de réponse rapide a été en mesure d'identifier :
- Les actifs FortiClient EMS qui ont des consoles web exposées et montrent des indications d'exécution du service FcmDaemon (utilisé dans cet exploit) via les requêtes Search et ASM listées ci-dessous. Notez que tous ces services ne sont pas nécessairement vulnérables : les administrateurs peuvent utiliser ces données pour vérifier les versions de FortiClient EMS qu'ils ont localement.
- Versions spécifiquement vulnérables de FortiClientEMS (telles qu'identifiées dans les avis) via le nom de risque pour les dispositifs potentiellement vulnérables énumérés ci-dessous pour les clients ASM de Censys .
Censys Nom du risque ASM
Vulnérabilité du FortiClient EMS [CVE-2023-48788]".
Censys Les clients d'ASM verront ce risque appliqué aux biens concernés dans leur espace de travail. Ceux qui se sont inscrits au système d'alerte automatisé Rapid Response seront contactés directement au sujet des biens concernés.
Censys Requête ASM Cette requête est partagée par les clients qui souhaitent affiner ou modifier les versions pour des opérations personnalisées.
Censys Les requêtes de recherche sont partagées directement avec les clients de Censys . Si vous souhaitez obtenir la requête Censys pour identifier les instances globales liées à ce problème, ou si vous avez besoin d'aide, veuillez nous contacter.
Recommandations pour l’assainissement
de Fortinet indiquent que les propriétaires des biens doivent passer aux versions indiquées ci-dessous :
Les versions 7.2.0 à 7.2.2 de FortiClientEMS doivent être mises à jour vers la version 7.2.3 ou supérieure.
Les versions 7.0.1 à 7.0.10 de FortiClientEMS doivent être mises à jour vers la version 7.0.11 ou supérieure.
Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.