Xakep #305. Многошаговые SQL-инъекции
Эксперты обнаружили, что свежая уязвимость в Fortinet FortiNAC, закрытая ранее в этом месяце, уже используется в хакерских атаках. Специалисты заявили, что перед проблемой уязвимы более 700 000 устройств, но разработчики Fortinet уверяют, что все не так страшно.
Напомню, что на прошлой неделе исследователи опубликовали PoC-эксплоит для критической уязвимости (CVE-2022-39952) в Fortinet FortiNAC. Эта проблема связана с внешним именами файлов и контролем путей в FortiNAC. Она оценивается в 9,8 балла из 10 возможных по шкале CVSS и позволяет неаутентифицированному злоумышленнику записывать в систему произвольные файлы, а также может вести к выполнению произвольного кода.
Об использовании уязвимости в атаках сообщили эксперты GreyNoise и CronUp. По их данным, эксплуатация носила массовый характер и применялась для открытия реверс-шеллов, а также создания веб-шеллов fortii.jsp и shell.jsp в папке bsc/campusMgr/ui/ROOT/ на скомпрометированных устройствах.
Исследователи подчеркивали, что «уязвимость является критической и ключевой для экосистемы кибербезопасности, поскольку в первую очередь позволяет получить первоначальный доступ к корпоративным сетям».
В итоге Fortinet опубликовала сообщение в блоге, в котором сообщила клиентам, что CVE-2022-39952 является критической проблемой, которую действительно необходимо немедленно исправить.
При этом во многих отчетах и статьях, опубликованных после раскрытия данных о CVE-2022-39952, упоминался поиск в Shodan, который показывал более 700 000 подключенных к интернету устройств Fortinet. Однако это не означает, что все эти устройства уязвимы для CVE-2022-39952 и атак. В Fortinet подчеркивают, что некоторые «сенсационные сообщения» экспертов о потенциальной эксплуатации 711 000 устройств, не соответствуют действительности.
«Эти сообщения являются ложными, — заявили в компании. — Дело в том, что большинство организаций используют FortiNAC в изолированных средах, не подключенных к интернету. И хотя Fortinet обладает обширным портфолио в сфере кибербезопасности и поставила более 10 миллионов устройств, на самом деле уязвимых устройств насчитывается далеко не 711 234. Это понятное недоразумение, потому как мы поставляем больше защитных устройств, чем кто-либо другой, тем не менее, такие сообщения не соответствуют действительности».