A equipe de ataque da Horizon3.ai lançou uma exploração PoC para CVE-2022-39952 , uma vulnerabilidade crítica que afeta o FortiNAC, a solução de controle de acesso à rede da Fortinet.
“Semelhante à armação de problemas anteriores de vulnerabilidade de arquivo que permitem a gravação arbitrária de arquivos, usamos essa vulnerabilidade para gravar um trabalho cron em /etc/cron.d/payload . Esse trabalho cron é acionado a cada minuto e inicia um shell reverso para o invasor”, compartilhou Zach Hanley, engenheiro-chefe de ataque da Horizon3.ai.
“Primeiro criamos um zip que contém um arquivo e especificamos o caminho que queremos extrair. Em seguida, enviamos o arquivo zip malicioso para o terminal vulnerável no campo de chave. Em um minuto, obtemos um shell reverso como usuário root.”
Nenhuma tentativa de exploração detectada até agora
Hanley explicou a natureza da falha e os indicadores compartilhados de comprometimento: a linha Running configApplianceXml nos logs do sistema de arquivos localizados em /bsc/logs/output.master . Mas, ele observa, é possível que os defensores não o encontrem se os invasores limparem o arquivo de log.
“Vulnerabilidades arbitrárias de gravação de arquivo podem ser abusadas de várias maneiras para obter a execução remota de código. Nesse caso, escrevemos um cron job em /etc/cron.d/ , mas os invasores também podem sobrescrever e binário no sistema que é executado regularmente ou chaves SSH para um perfil de usuário”, acrescentou.
Simultaneamente, Greynoise criou uma tag para registrar as tentativas de exploração CVE-2022-39952 e, até agora, não detectou nenhuma.
Os administradores corporativos que perderam o alerta inicial do Fortinet são aconselhados a atualizar seus dispositivos FortiNAC para a versão 9.4.1 ou superior, 9.2.6 ou superior, 9.1.8 ou superior e 7.2.0 ou superior o mais rápido possível, porque não há soluções alternativas disponíveis.
ATUALIZAÇÃO (22 de fevereiro de 2023, 04h55 ET):
O analista de ameaças do Rapid7, Christiaan Beek, observou que o exploit PoC do Horizon3ai foi testado e funciona contra dispositivos vulneráveis, e que os honeypots do ShadowServer já relataram atividade de varredura.
FONTE: HELPNET SECURITY