Horizon3 выявляет угрозу в FortiClient EMS, ставящую на уши всю отрасль

Группа исследователей из Horizon3 поделилась информацией о серьезной угрозе в системе Fortinet FortiClient EMS. Они обнаружили уязвимость, которая уже стала инструментом в руках киберпреступников.

Проблема связана с недочетом в безопасности, известным как SQL-инъекция, и получила обозначение CVE-2023-48788. Этот недостаток обнаружен в версиях 7.0 и 7.2 FortiClient EMS и позволяет злоумышленникам запускать код на атакуемых системах с самыми высокими правами доступа без ведома пользователя.

Несмотря на то что изначально Fortinet не сообщала о случаях эксплуатации этой проблемы, позже компания признала, что уязвимость уже использовалась для атак.

Через некоторое время после того, как Fortinet выпустила обновления безопасности, команда Horizon3 опубликовала анализ ситуации вместе с PoC-эксплоитом. Этот эксплоит иллюстрирует уязвимость, но для осуществления полноценной атаки с удаленным выполнением кода потребуются дополнительные модификации.

Исследования сервисов Shodan и Shadowserver показывают, что в сети насчитывается более 740 серверов FortiClient EMS, многие из которых находятся в США.

Уязвимости в продуктах Fortinet привлекают внимание атакующих, стремящихся проникнуть в корпоративные сети для распространения вредоносного ПО или для сбора конфиденциальной информации, включая атаки с использованием недавно обнаруженных уязвимостей.