FortiClient EMS’dagi kritik zaiflik: yashirin xavf va jiddiy oqibatlar
Zamonaviy axborot tizimlari qanchalik murakkablashib borayotgan bo‘lsa, ularga nisbatan yuzaga kelayotgan tahdidlar ham shunchalik xavfli tus olmoqda. Yaqinda Fortinet kompaniyasi tomonidan ishlab chiqilgan FortiClient Endpoint Management Server (EMS) tizimida aniqlangan yangi zaiflik ana shunday jiddiy muammolardan biri sifatida e’tirof etildi.
Mazkur zaiflik CVE-2026-21643 identifikatori bilan ro‘yxatga olingan bo‘lib, uning xavflilik darajasi 9.1 (CVSS) ball bilan baholangan. Bu esa uning amalda tizim uchun nihoyatda xavfli ekanini anglatadi.
⚠ Zaiflik nimadan iborat?
Ushbu zaiflik SQL injection turiga mansub bo‘lib, hujumchiga tizim ma’lumotlar bazasiga ruxsatsiz kirish imkonini beradi. Eng xavotirli jihati — hujumni amalga oshirish uchun autentifikatsiya talab etilmaydi. Ya’ni, hujumchi oddiy HTTP so‘rovi orqali tizimni nishonga olishi mumkin.
Muammo FortiClient EMS’ning aynan 7.4.4 versiyasida, tizimning multi-tenant (ko‘p foydalanuvchili) rejimi yoqilgan holatda yuzaga keladi. Ushbu versiyada dasturiy arxitektura yangilanishi jarayonida muhim xatolik kiritilgan.
🧠 Muammoning asl sababi
Tahlillarga ko‘ra, tizim HTTP so‘rovdagi “Site” sarlavhasini tekshirmasdan (validatsiyasiz) to‘g‘ridan-to‘g‘ri PostgreSQL ma’lumotlar bazasidagi search_path parametriga uzatadi.
Natijada hujumchi ushbu sarlavha orqali o‘zining zararli SQL buyruqlarini yuborishi mumkin bo‘ladi. Bu esa klassik SQL injection hujumining zamonaviy ko‘rinishidir.
Eng xavfli jihatlardan biri — ushbu zaiflikka ega bo‘lgan kod qismi autentifikatsiyadan oldin ishlaydi. Shu sababli tizimga kirish uchun login va parol talab qilinmaydi.
🎯 Hujum qanday amalga oshiriladi?
Bishop Fox mutaxassislari ushbu zaiflikni chuqur o‘rganib, eng qulay hujum nuqtasi sifatida /api/v1/init_consts endpointini aniqlashgan.
Hujum jarayoni quyidagicha kechadi:
- Hujumchi ushbu endpoint orqali tizimda multi-tenant rejimi yoqilganligini aniqlaydi.
- So‘ngra HTTP sarlavhaga maxsus SQL kod joylashtirib so‘rov yuboradi.
- Tizim xatolik xabarlarini ochiq qaytargani sababli hujumchi ma’lumotlarni tezda ajratib oladi.
Bu yerda yana bir muhim kamchilik — endpointda rate limit va himoya mexanizmlarining yo‘qligi. Bu esa hujumni tez va samarali amalga oshirish imkonini beradi.
💥 Zaiflik oqibatlari
Agar hujum muvaffaqiyatli amalga oshirilsa, oqibatlar nihoyatda jiddiy bo‘lishi mumkin:
- 📂 Ma’lumotlar bazasining to‘liq nazoratga olinishi
- 🔑 Administrator parollarining o‘g‘irlanishi
- 📜 Raqamli sertifikatlarning qo‘lga kiritilishi
- 🖥 Tarmoqdagi barcha boshqariladigan qurilmalar haqida ma’lumot olish
- ⚙ Operatsion tizim darajasida masofaviy kod ijro etish (RCE)
Bu esa hujumchiga nafaqat tizimni kuzatish, balki unga to‘liq nazorat o‘rnatish imkonini beradi.
🔍 Aniqlash belgilar (IoC)
Tizim administratorlari quyidagi belgilar orqali hujumni aniqlashlari mumkin:
- ⏱ API so‘rovlarida g‘ayrioddiy kechikishlar (5–20 soniya)
- ❗ /api/v1/init_consts endpointiga ko‘p marotaba yuborilgan so‘rovlar
- ⚠ Bitta IP-manzildan takroriy HTTP 500 xatoliklari
- 🧾 PostgreSQL loglarida shubhali SQL buyruqlar (SELECT, ‘, 😉
🛡 Himoya choralar
Fortinet ushbu muammoni tezkorlik bilan bartaraf etib, 7.4.5 versiyasida yangilanish chiqardi.
Tashkilotlarga quyidagilar tavsiya etiladi:
- 🔄 FortiClient EMS’ni zudlik bilan 7.4.5 versiyaga yangilash
- 🚫 Multi-tenant (“Sites”) funksiyasini vaqtincha o‘chirish
- 🌐 Boshqaruv interfeysiga kirishni faqat ichki yoki ishonchli tarmoqlar bilan cheklash
- 📊 Log-fayllarni muntazam tahlil qilish
- 🔐 Qo‘shimcha xavfsizlik qatlamlarini (WAF, IDS/IPS) joriy etish
Ushbu zaiflik yana bir bor shuni ko‘rsatadiki, hatto kichik konfiguratsion xatolik ham butun tizim xavfsizligiga jiddiy tahdid solishi mumkin. Ayniqsa, tarmoq boshqaruvi va markazlashgan serverlar kabi muhim komponentlar hujumchilar uchun eng jozibador nishon hisoblanadi.
Shu bois har bir tashkilot o‘z axborot infratuzilmasini muntazam yangilab borishi, xavfsizlik choralarini kuchaytirishi va ehtimoliy tahdidlarga nisbatan doimo hushyor bo‘lishi zarur.
