Fortinet ha affrontato le vulnerabilità critiche nel suo Wireless LAN Manager (FortiWLM) che potrebbero portare all’esecuzione di codice remoto (RCE) non autenticata e alla divulgazione di informazioni sensibili. L’indirizzo delle patch rilasciate CVE-2023-34990 E CVE-2023-48782che, se sfruttati insieme, possono garantire agli aggressori l’accesso non autorizzato. Gli esperti sottolineano l’urgenza per i clienti di aggiornare i propri sistemi.
Fortinet corregge le vulnerabilità critiche in Wireless LAN Manager
Il bug identificato, CVE-2023-34990, ha un punteggio CVSS di 9,6 ed è stato divulgato per la prima volta nel marzo 2023. È classificato come una “vulnerabilità di lettura limitata di file non autenticati”. Zach Hanley, un ricercatore di sicurezza di Horizon3.ai, ha riferito che la vulnerabilità deriva da una convalida inadeguata dell’input sui parametri della richiesta. Questa falla consente agli aggressori di attraversare le directory e accedere a qualsiasi file di registro sul sistema, rivelando potenzialmente informazioni sensibili come gli ID di sessione dell’utente. Questi log sono particolarmente dettagliati in FortiWLM e aumentano il rischio quando vengono sfruttati.
Il National Vulnerability Database (NVD) descrive come questa vulnerabilità può portare all’esecuzione di codice non autorizzato tramite richieste web appositamente predisposte. Le versioni FortiWLM interessate includono da 8.6.0 a 8.6.5, che sono state risolte nella versione 8.6.6 e successive, e da 8.5.0 a 8.5.4, corrette nella versione 8.5.5 o successive. Considerata l’importanza di Fortinet come obiettivo degli attacchi informatici, l’imperativo di applicare rapidamente le patch non può essere sopravvalutato.
La botnet BADBOX infetta oltre 192.000 dispositivi Android in tutto il mondo
Oltre a CVE-2023-34990, anche una vulnerabilità separata, CVE-2023-48782, svolge un ruolo fondamentale nella catena di exploit. Questo difetto di iniezione di comandi autenticati ha un punteggio CVSS di 8,8 ed è stato corretto l’anno precedente. Hanley osserva che, se combinato con la vulnerabilità non autenticata, un utente malintenzionato può eseguire comandi dannosi con privilegi di root inserendo comandi attraverso un endpoint specifico, compromettendo ulteriormente il sistema.
Kaspersky lo ha fatto riportato sfruttamento in corso di un’altra vulnerabilità nel FortiClient EMS di Fortinet, in particolare CVE-2023-48788che ha un punteggio CVSS di 9,3. Questa vulnerabilità SQL injection consente agli aggressori di inviare pacchetti di dati appositamente predisposti, consentendo loro di eseguire codice non autorizzato. La società di sicurezza informatica ha documentato un attacco nell’ottobre 2024 che ha preso di mira un server Windows che ospita FortiClient EMS. L’attacco ha sfruttato le porte aperte per ottenere il controllo sul server, portando all’installazione di software desktop remoto come AnyDesk e ScreenConnect.
In seguito alla violazione iniziale, secondo quanto riferito, gli aggressori hanno caricato ulteriori payload per lo spostamento laterale, la raccolta di credenziali e per stabilire la persistenza sul sistema compromesso. Gli strumenti utilizzati in questa campagna includevano malware per il recupero della password e la scansione della rete, come Mimikatz e netscan.exe. È noto che la campagna ha preso di mira varie aziende in più paesi, rivelando la portata globale e la sofisticatezza di queste minacce informatiche.
Kaspersky ha osservato ulteriori tentativi di utilizzare CVE-2023-48788 come un’arma, inclusa l’esecuzione di script PowerShell da server compromessi per raccogliere risposte da altri obiettivi vulnerabili. Questo impegno punta all’evoluzione delle metodologie di attacco e ai rischi continui per le organizzazioni che utilizzano i prodotti Fortinet. Le prime informazioni fornite da Forescout all’inizio dell’anno riportato un modello simile di sfruttamento che coinvolge la stessa vulnerabilità per fornire strumenti di accesso remoto.
Le organizzazioni che utilizzano i sistemi Fortinet devono dare priorità all’aggiornamento e all’applicazione di patch alle proprie apparecchiature per mitigare i rischi associati a queste vulnerabilità. Non è ancora chiaro fino a che punto queste vulnerabilità siano già state sfruttate a livello globale, rendendo essenziale che gli amministratori rimangano vigili.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
