0
0
Pesquisadores divulgaram detalhes sobre como explorar um bug crítico de execução remota de código (RCE) no produto FortiNAC da Fortinet, que permite que um invasor não autenticado grave arquivos arbitrários no sistema e obtenha o RCE como usuário root.
As organizações usam o FortiNAC como uma solução de controle de acesso à rede para supervisionar e proteger todos os ativos digitais conectados à rede corporativa. O produto pode ser usado para gerenciar uma variedade de dispositivos, incluindo: endpoints corporativos, Internet das Coisas (IoT), tecnologia operacional e sistemas de controle industrial (OT/ICS) e dispositivos médicos conectados (IoMT), entre outros. A ideia é fornecer visibilidade, controle e resposta automatizada para tudo que se conecta à rede e, como tal, o dispositivo oferece uma oportunidade de ouro para os invasores girarem e se aprofundarem nas redes, enumerar ambientes, roubar informações confidenciais e muito mais.
Pesquisadores da Horizon3.ai divulgaram uma postagem no blog com uma análise técnica e prova de conceito (POC) para a vulnerabilidade, rastreada como CVE-2022-39952, e revelada e corrigida pela Fortinet na semana passada. Posteriormente, eles lançaram o código de exploração no GitHub .
Gwendal Guégniaud, da Fortinet, descobriu a vulnerabilidade, que obteve uma classificação crítica de 9,8 na escala de vulnerabilidade-gravidade do CVSS. O bug permite que invasores assumam o controle externo de um nome de arquivo ou vulnerabilidade de caminho no servidor Web FortiNAC, disse a Fortinet em seu comunicado , permitindo assim gravações arbitrárias não autenticadas no sistema.
A Fortinet corrigiu suas versões de produtos afetados, com os clientes instados a atualizar para FortiNAC versão 9.4.1 ou superior, FortiNAC versão 9.2.6 ou superior, FortiNAC versão 9.1.8 ou FortiNAC versão 7.2.0 ou superior.
Como explorar a falha Fortinet FortiNAC
Embora existam várias maneiras de os invasores obterem o RCE explorando falhas arbitrárias de gravação de arquivos, os pesquisadores escreveram o que é chamado de “cron job para /etc/cron.d/” para tirar proveito da vulnerabilidade, disseram eles.
Os pesquisadores extraíram os sistemas de arquivos das versões vulneráveis e corrigidas do produto para examinar a falha, descobrindo que a Fortinet removeu um arquivo ofensivo chamado /bsc/campusMgr/ui/ROOT/configWizard/keyUpload.jsp na atualização que corrige o bug. Acontece que esse arquivo permitiu que um terminal não autenticado analisasse solicitações que fornecem um arquivo no parâmetro chave e, em seguida, grave-o em /bsc/campusMgr/config.applianceKey, disseram os pesquisadores.
Para explorar essa falha, os pesquisadores escreveram o arquivo com sucesso e fizeram uma chamada que executa um script bash, que por sua vez pode descompactar o arquivo que acabou de ser escrito. O processo de descompactação “permitirá colocar arquivos em qualquer caminho, desde que eles não ultrapassem o diretório de trabalho atual”, escreveu o engenheiro-chefe de ataque do Horizon3.ai, Zach Hanley, na postagem do blog. “Como o diretório de trabalho é /, a chamada unzip dentro do script bash permite que qualquer arquivo arbitrário seja gravado.”
“Imediatamente, ver essa chamada no arquivo controlado pelo invasor nos deu flashbacks de algumas vulnerabilidades recentes que analisamos e que abusaram da descompactação de arquivos”, acrescentou.
Os pesquisadores usaram o cron job acima mencionado – que envolve o uso do código /etc/cron.d/payload – para armar a falha. O trabalho é acionado a cada minuto e inicia um shell reverso para o invasor. Para fazer isso, os pesquisadores criaram um arquivo zip que contém um arquivo e especifica o caminho para extração e, em seguida, enviaram o arquivo zip malicioso para o endpoint vulnerável no campo-chave, disseram eles.
“Em um minuto, obtemos um shell reverso como usuário root”, que pode permitir a execução remota do código, escreveu Hanley.
Histórico de Interesse do Atacante
Historicamente, os invasores tendem a atacar as falhas da Fortinet – às vezes antes mesmo que a empresa saiba que elas existem. Uma vez que eles oferecem uma excelente oportunidade de se firmar em redes corporativas, seria prudente que qualquer organização que execute versões afetadas do FortiNAC atualize para os produtos corrigidos o mais rápido possível. Até agora, nem a Fortinet nem a Horizon3.ai estão cientes de qualquer caso de invasores aproveitando a falha, mas agora que a prova de conceito do último foi lançada, com detalhes passo a passo sobre como ela pode ser explorada, é provável que isso aconteça. mudar.
Em janeiro, os pesquisadores vincularam um novo backdoor sofisticado apelidado de BoldMove a uma vulnerabilidade de dia zero que a Fortinet descobriu em várias versões de suas tecnologias FortiOS e FortiProxy em dezembro. A falha permitia que um invasor não autenticado executasse código arbitrário nos sistemas afetados. No ataque de dia zero, um agente de ameaças da China envolvido em operações de espionagem cibernética aparentemente escreveu o malware para ser executado especificamente nos firewalls FortiGate da Fortinet antes mesmo de a vulnerabilidade se tornar pública e corrigida, descobriram os pesquisadores.
Em outubro, os invasores também demonstraram interesse significativo em uma vulnerabilidade crítica de desvio de autenticação em várias versões das tecnologias FortiOS, FortiProxy e FortiSwitchManager da Fortinet, principalmente após o lançamento do código de exploração para a falha.
FONTE: DARK READING