Recent Fortinet FortiClient EMS Vulnerability Exploited in Attacks
2024/03/26 SecurityWeek — 米国のサイバーセキュリティ機関 CISA は、先日に公開された Fortinet FortiClient Enterprise Management Server (EMS) の脆弱性 CVE-2023-48788 が、サイバー攻撃で悪用されているとユーザー組織に警告している。このエンタープライズ・エンドポイント管理ソリューションに影響を及ぼす脆弱性は、特別に細工されたリクエストを介して任意のコード/コマンドの実行を許すため、未認証の攻撃者により悪用される可能性のある、深刻な SQL インジェクションのバグになると説明されている。
2月22日に Fortinet は、FortiClient EMS のバージョン 7.0.11/7.2.3 以降に、この脆弱性に対するパッチが含まれていることを公表した。なお、この脆弱性 CVE-2023-48788 を発見したのは、英国の National Cyber Security Centre (NCSC) と、Fortinet の従業員だとされている。
3月21日の時点では、サイバー・セキュリティ企業 Horizon3.ai が、この脆弱性に関する技術的詳細と PoC エクスプロイトを公表している。
また、3月25日には CISA が、CVE-2023-48788 を Known Exploited Vulnerabilities (KEV) カタログに登録し、可能な限り早急にパッチをインストールするよう、また、緩和策を実装するよう、ユーザー組織に促している。
Fortinet はアドバイザリを更新し、この脆弱性が “野放し状態で悪用されている” ことを追加した。脆弱性 CVE-2023-48788 を悪用する攻撃について、現時点では情報が得られていないようだ。ただし、Fortinet 製品の脆弱性は、国家を標的にした脅威アクターたちにより、頻繁に悪用されてきている。3月23日の時点で Shadowserver Foundation は、インターネットから直接アクセス可能な、脆弱性を抱えるシステムが、130件ほど確認されたと報告している。
3月25日の CISA は、Ivanti Endpoint Manager の古い脆弱性 CVE-2021-44529 も、KEV カタログに追加している。この脆弱性の悪用に成功した未認証の攻撃者は、任意のコード実行を可能にするとされる。脅威インテリジェンス会社 GreyNoise は、この脆弱性の悪用の試みを目撃しており、オープンソース・プロジェクトのバックドアの結果という可能性を示唆している。
Fortinet FortiClient EMS の脆弱性 CVE-2023-48788 ですが、第一報は 2024/03/13 の「Fortinet FortiOS/FortiProxy/FortiClientEMS の3つの脆弱性が FIX:直ちにアップデートを!」で、第二報は 2024/03/21 の「Fortinet FortiClient EMS の脆弱性 CVE-2023-48788:PoC エクスプロイトが公開された」となっています。そして、CISA KEV にも登録されました。ご利用のチームは、ご注意ください。よろしければ、Fortinet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.