En kritisk FortiClient EMS-sårbarhed udnyttes nu aktivt. Angribere retter sig mod eksponerede servere for at få uautoriseret adgang til virksomhedsmiljøer. Sikkerhedsforskere advarer om, at uopdaterede systemer har høj risiko for kompromittering.
Sårbarhed muliggør fjernkørsel af kommandoer
Sårbarheden påvirker Fortinets FortiClient Endpoint Management Server. Den gør det muligt for angribere at sende specialudformede forespørgsler, som omgår beskyttelse og udfører kommandoer på systemet.
Problemet kræver ingen autentificering, hvilket øger risikoen. Enhver eksponeret server kan blive et mål. Når angribere udnytter sårbarheden, kan de interagere direkte med systemet og overtage kontrol over centrale funktioner.
Angribere målretter eksponerede administrationsgrænseflader
Trusselsaktører scanner aktivt efter sårbare instanser. Systemer med offentligt tilgængelige administrationsgrænseflader er mest udsatte.
Efter at have fået adgang kan angribere ændre konfigurationer, få adgang til lagrede data og etablere vedvarende adgang. Da FortiClient EMS administrerer endpoints, kan én kompromitteret server give indsigt i flere enheder.
Det gør sårbarheden særligt farlig i virksomhedsmiljøer.
Patch er tilgængelig, men eksponering består
Fortinet har udgivet en opdatering, der retter fejlen. Ikke alle organisationer har dog installeret den endnu.
Selv korte forsinkelser i opdatering kan efterlade systemer åbne for angreb. Angribere handler ofte hurtigt, når en sårbarhed bliver offentlig kendt, især hvis den er nem at udnytte.
Organisationer, der bruger berørte versioner, bør handle uden forsinkelse for at reducere risikoen.
Kompromittering kan sprede sig hurtigt
Når angribere først får adgang, kan de eskalere deres aktivitet. De kan bevæge sig lateralt i netværket, indsamle følsomme data og installere yderligere værktøjer.
Sårbarheden giver et direkte indgangspunkt til administrationsinfrastruktur. Det gør det muligt at udvide adgangen ud over det første system og påvirke et større miljø.
Øjeblikkelig handling er nødvendig
Sikkerhedsteams bør prioritere at opdatere berørte systemer og begrænse eksponeringen. Begrænsning af adgang til administrationsgrænseflader kan reducere angrebsfladen.
Overvågning af trafik og gennemgang af logfiler kan hjælpe med at opdage mistænkelig aktivitet. Rotation af legitimationsoplysninger og kontrol af systemintegritet kan yderligere begrænse skader ved et brud.
Konklusion
FortiClient EMS-sårbarheden viser, hvor hurtigt angribere udnytter eksponerede systemer. Aktive angreb er allerede i gang, og uopdaterede servere forbliver udsatte. Organisationer skal handle hurtigt for at sikre deres infrastruktur og forhindre yderligere kompromittering.
0 svar til “FortiClient EMS-sårbarhed udnyttes i aktive angreb”