Sicherheitsexperten haben einen Proof-of-Concept (PoC) Exploit für eine kritische Sicherheitsanfälligkeit in Fortinets FortiClient Enterprise Management Server (EMS) Software veröffentlicht, die derzeit aktiv ausgenutzt wird. Die Sicherheitslücke, identifiziert als CVE-2023-48788, betrifft eine SQL-Injection im DB2 Administration Server (DAS) und wurde vom britischen National Cyber Security Centre (NCSC) entdeckt und gemeldet. Betroffen sind FortiClient EMS Versionen 7.0 (7.0.1 bis 7.0.10) und 7.2 (7.2.0 bis 7.2.2). Sie ermöglicht nicht authentifizierten Angreifern, remote Code mit SYSTEM-Rechten auf ungepatchten Servern auszuführen – und das mit geringer Komplexität und ohne Benutzerinteraktion.
Fortinet hat letzte Woche ein Sicherheitsupdate veröffentlicht, ohne zunächst zu erwähnen, dass CVE-2023-48788 bereits für Angriffe genutzt wird. Dies wurde später im Sicherheitshinweis ergänzt. Eine Woche nach der Veröffentlichung des Sicherheitsupdates hat das Horizon3 Attack Team eine technische Analyse und einen PoC-Exploit veröffentlicht, der überprüft, ob ein System anfällig ist, ohne jedoch Remote Code Execution (RCE) Fähigkeiten zu bieten.
Um den SQL-Injection-Schwachpunkt für Remote Code Execution auszunutzen, müssten Angreifer den PoC modifizieren, um über das xp_cmdshell-Verfahren von Microsoft SQL Server eine Windows-Befehlsshell für die Codeausführung zu starten. Aktuelle Zahlen von Shodan zeigen über 440 online exponierte FortiClient Enterprise Management Server (EMS), während Shadowserver mehr als 300 identifiziert hat, die meisten davon in den USA.
Angesichts der aktiven Ausnutzung dieser Sicherheitslücke empfehlen Experten dringend, die verfügbaren Sicherheitsupdates umgehend zu installieren, um unbefugten Zugriff und potenzielle Ransomware-Angriffe oder Cyberspionage-Kampagnen zu verhindern.