Xakerlar «FortiClient EMS»dagi zaiflikni faol ekspluatatsiya qilmoqda

Kiberxavfsizlik bo‘yicha tadqiqotchilar Fortinet’ning FortiClient Enterprise Management Server (EMS) dasturiy ta’minotida aniqlangan muhim zaiflikdan (CVE-2023-48788) faol foydalanilayotganini aniqlashdi. Ushbu zaiflik noto‘g‘ri filtrlangan SQL buyruqlari sababli yuzaga kelib, hujumchilarga SQL injeksiyasi orqali ruxsatsiz kod yoki buyruqlarni bajarish imkonini beradi.

Bu zaiflikni ekspluatatsiya qilish orqali xakerlar korxona tarmoqlariga kirib borib, ularga zarar yetkazmoqda. Garchi ushbu zaiflik uchun yamoqlar mavjud bo‘lsada, hujumchilar hali ham global miqyosda undan foydalanishda davom etmoqda.

CVE-2023-48788 zaifligi FortiClient EMS ning quyidagi versiyalariga taalluqli:

  • 7.0.1 dan 7.0.10 gacha
  • 7.2.0 dan 7.2.2 gacha

Bu zaiflikning Common Vulnerability Scoring System (CVSS) bo‘yicha bahosi 9.8 ni tashkil etadi, bu esa uning qanchalik jiddiy ekanini ko‘rsatadi. Zaiflikdan foydalanish uchun autentifikatsiyadan o‘tmagan hujumchi maxsus tuzilgan ma’lumotlar paketlarini jo‘natib, masofadan kod bajarish (RCE) imkoniyatiga ega bo‘ladi.

Zaiflik 2024-yil mart oyida oshkor qilingan va 7.0.11 hamda 7.2.3 versiyalarida yamoqlar chiqarilgan. FortiClient EMS ko‘pincha masofadan kirish uchun internetga ulanishga ruxsat beruvchi markazlashtirilgan platforma sifatida ishlatiladi. Ushbu ochiqlik hujumchilarga dastlabki kirish, razvedka yuritish va zararli yuklamalarni joylashtirish imkonini beradi.

2024-yil oktabr oyida Kaspersky kompaniyasining Global Emergency Response Team (GERT) jamoasi Windows serverga qilingan hujumni aniqladi. Ushbu hujum FortiClient EMS ning 7.0.1 versiyasidagi zaiflikdan foydalanib amalga oshirilgan.

Hujumchilar SQL injeksiyasi orqali tizimga kirishgan va ScreenConnect hamda AnyDesk kabi masofaviy boshqaruv vositalarini joylashtirgan. Shuningdek, ular Mimikatz.exe yordamida parollarni o‘g‘irlash, HRSword.exe yordamida esa himoyani chetlab o‘tish uchun vositalardan foydalangan. Tabiiy Windows buyruq fayllari (masalan, certutil va curl) orqali qo‘shimcha zararli yuklamalar yuklangan.

FortiClient EMS (ems.log, sql_trace.log) va Microsoft SQL Server (ERRORLOG.X) loglarida SQL injeksiyasi orqali hujumlar aniqlandi. Ular xp_cmdshell funksiyasi yordamida ruxsatsiz buyruqlar bajarishga imkon bergan.

Tahdid razvedkasi CVE-2023-48788 zaifligidan turli mintaqalar va sohalarda keng foydalanilayotganini ko‘rsatdi. Hujumchilar asosan ma’lumotlarni o‘g‘irlash, parollarni olish va ransomware tarqatish uchun tizimlarni nishonga olishgan. Xususan, Medusa ransomware guruhi ushbu zaiflikdan dastlabki kirish uchun foydalangan.

FortiClient EMS foydalanuvchilari darhol quyidagi versiyalarga yangilanishlari lozim:

  • 7.0.11 yoki undan keyingi versiyalar
  • 7.2.3 yoki undan keyingi versiyalar

Qo‘shimcha xavfsizlik choralariga quyidagilar kiradi:

  1. FortiClient EMS serverlarini internetdan to‘g‘ridan-to‘g‘ri kirishga cheklash.
  2. Tarmoqli trafikni ekspluatatsiya belgilari uchun kuzatish (IDS tizimlari orqali).
  3. Barcha qurilmalarda endpoint himoya platformalarini (EPP) joriy etish.
  4. Veb-ilovalarni himoya qilish devorlarini (WAF) sozlash va zararli so‘rovlarni bloklash.
  5. Tizim loglarini muntazam ko‘rib chiqish va shubhali faolliklarni aniqlash.

CVE-2023-48788 zaifligining ekspluatatsiyasi tizimlarni yangilashning va vaqtida xavfsizlik choralarini ko‘rishning naqadar muhimligini yana bir bor tasdiqlaydi. Korxonalar o‘z infratuzilmasini himoya qilish uchun muntazam ravishda yamoqlarni o‘rnatishi va kiberxavfsizlikni ta’minlash bo‘yicha ilg‘or tajribalarni joriy etishi lozim.

Skip to content