Una vulnerabilidad de inyección SQL recientemente reparada (CVE-2023-48788) en la solución FortiClient Endpoint Management Server (EMS) de Fortinet aparentemente ha despertado el interés de muchos: el equipo de ataque de Horizon3 tiene la intención de publicar detalles técnicos y una prueba de concepto de exploit para ella a continuación. semana, y alguien está intentando vender un PoC por menos de $300 a través de GitHub.
Acerca de CVE-2023-48788
CVE-2023-48788 es una de las varias vulnerabilidades parchadas recientemente por Fortinet.
«Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de Comando SQL (‘Inyección SQL’) [CWE-89] en FortiClientEMS puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes específicamente diseñadas», dijo el equipo de respuesta a incidentes de seguridad del producto de la compañía. afirma concisamente en el aviso asociado .
El equipo también compartió que la vulnerabilidad fue «co-descubierta e informada por Thiago Santana del equipo de desarrollo Fortinet ForticlientEMS y el NCSC del Reino Unido», pero no dijo si ha sido o está siendo explotada en ataques en la naturaleza.
Una prueba de concepto para CVE-2023-48788
A partir del miércoles, alguien creó una página de GitHub anunciando un “nuevo exploit” para CVE-2023-48788 y la vinculó a una publicación en SatoshiDisk.com, una plataforma web donde los usuarios pueden cargar los archivos que desean vender y otros. los usuarios pueden descargarlos si pagan el precio establecido.
Ofrecen a la venta el exploit PoC para CVE-2023-48788
Sin embargo, aquí está la cuestión: no hay forma de comprobar si el PoC es real o falso antes de comprarlo. Y sabemos que los estafadores y vendedores de malware han estado utilizando este mismo pretexto en el pasado para robar dinero y distribuir malware .
“Creo que la probabilidad de que el exploit vendido por [este vendedor] sea real es baja. Actualmente, no veo ningún exploit anunciado en ningún otro lugar”, dijo a Help Net Security el Dr. Johannes Ullrich, fundador del SANS Internet Storm Center (ISC).
«Por otro lado, si se trata de un problema de inyección SQL relativamente simple, la explotación puede no ser tan difícil, lo que también podría explicar el bajo precio».
También señaló que la vulnerabilidad no afecta a los dispositivos de puerta de enlace de Fortinet, sino a FortiClient EMS, cuyas instancias tienen menos probabilidades de ser accesibles a través de Internet. Según sitios como Shodan, actualmente sólo hay unos doscientos sistemas expuestos, señaló.
«En este punto, casi no veo escaneos de Fortinet en los honeypots [de ISC], ni ningún intento de explotación real, otro indicador de que no hay ninguna explotación disponible ampliamente en este momento», concluyó.
Fuente y redacción: Zeljka Zorz / helpnetsecurity.com
