En kritisk FortiClient EMS-sårbarhet utnyttjas nu aktivt. Angripare riktar in sig på exponerade servrar för att få obehörig åtkomst till företagsmiljöer. Säkerhetsforskare varnar för att opatchade system löper hög risk att komprometteras.
Sårbarhet möjliggör fjärrkörning av kommandon
Sårbarheten påverkar Fortinets FortiClient Endpoint Management Server. Den gör det möjligt för angripare att skicka specialutformade förfrågningar som kringgår skydd och kör kommandon på systemet.
Problemet kräver ingen autentisering, vilket ökar risken. Alla exponerade servrar kan bli mål. När angripare utnyttjar sårbarheten kan de interagera direkt med systemet och ta kontroll över viktiga funktioner.
Angripare riktar in sig på exponerade hanteringsgränssnitt
Hotaktörer söker aktivt efter sårbara instanser. System med publikt tillgängliga hanteringsgränssnitt löper störst risk.
Efter att ha fått åtkomst kan angripare ändra konfigurationer, komma åt lagrad data och etablera kvarstående åtkomst. Eftersom FortiClient EMS hanterar endpoints kan en komprometterad server ge insyn i flera enheter.
Detta gör sårbarheten särskilt farlig i företagsmiljöer.
Patch finns men exponering kvarstår
Fortinet har släppt en uppdatering som åtgärdar problemet. Alla organisationer har dock ännu inte installerat den.
Även korta förseningar i patchning kan lämna system öppna för attacker. Angripare agerar ofta snabbt när en sårbarhet blir känd, särskilt när den är enkel att utnyttja.
Organisationer som använder berörda versioner behöver agera omedelbart för att minska risken.
Intrång kan spridas snabbt
När angripare väl fått åtkomst kan de eskalera sina aktiviteter. De kan röra sig lateralt i nätverket, samla in känslig data och installera ytterligare verktyg.
Sårbarheten fungerar som en direkt ingång till hanteringsinfrastruktur. Det gör det möjligt att utöka åtkomsten bortom det första systemet och påverka en större miljö.
Omedelbara åtgärder krävs
Säkerhetsteam bör prioritera att uppdatera berörda system och begränsa exponeringen. Att begränsa åtkomst till hanteringsgränssnitt minskar attackytan.
Övervakning av trafik och granskning av loggar kan hjälpa till att upptäcka misstänkt aktivitet. Rotation av inloggningsuppgifter och kontroll av systemens integritet kan minska skador vid intrång.
Slutsats
FortiClient EMS-sårbarheten visar hur snabbt angripare utnyttjar exponerade system. Aktiva attacker pågår redan och opatchade servrar är fortsatt utsatta. Organisationer måste agera snabbt för att skydda sin infrastruktur och förhindra ytterligare intrång.
0 svar till ”FortiClient EMS-sårbarhet utnyttjas i pågående attacker”