Scopriamo la diffusione online del PoC che sfrutta la vulnerabilità Fortinet EMS, affrontando implicazioni e rischi per gli utenti.
La sicurezza informatica vive un nuova fase critica a seguito della pubblicazione online di un exploit Proof-of-Concept (PoC) che svela una vulnerabilità di sistema nel software di Fortinet. Si tratta di una falla di SQL injection che minaccia il FortiClient Enterprise Management Server (EMS), conosciuta come CVE-2023-48788 che registra un punteggio di gravità di 9,2. Un dettaglio non trascurabile è che tale criticità è stata identificata dal National Cyber Security Center (NCSC) del Regno Unito, segnalando di conseguenza l’esigenza di mettere in atto strategie di difesa immediata.
La descritta vulnerabilità permette aggressioni informatiche attraverso cui, senza la necessità di autenticazione, gli attaccanti sono attualmente in grado di eseguire codice in remoto, assumendo privilegi di sistema su server non protetti da patch. Le versioni interessate da questo problema di sicurezza sono la FortiClient EMS 7.0, dalla 7.0.1 alla 7.0.10, e la 7.2, dalla 7.2.0 alla 7.2.2. Gli attacchi perpetrati sfruttando questa breccia sono inoltre di semplice realizzazione e non prevedono alcuna interazione con l’utente.
Sebbene inizialmente non venga menzionata un’attiva sfruttazione della falla, la società ha aggiornato la propria comunicazione confermando il pericolo di attacchi concreti. Al momento, diverse segnalazioni provenienti da servizi di monitoraggio come Shodan e Shadowserver evidenziano una presenza consistente di server FortiClient EMS esposti, distribuiti maggiormente negli Stati Uniti.
Recentemente, gli esperti di sicurezza del Team di Horizon3 hanno diffuso un’analisi tecnica riguardante la vulnerabilità, fornendo inoltre uno exploit PoC che permette di constatare la vulnerabilità di un sistema. I malintenzionati che hanno intenzione di implementare tale codice per lanciare attacchi RCE necessitano di operare delle modifiche per poter sfruttare la capacità della procedura xp_cmdshell di Microsoft SQL Server, che consente la generazione di una shell di comandi Windows.
Come spiega James Horseman, ricercatore del team di Horizon3, l’utilizzo dell’xp_cmdshell integrata in Microsoft SQL Server rappresenta un metodo efficace per trasformare la vulnerabilità SQL injection in un attacco di esecuzione di codice remoto.