สัปดาห์ที่ผ่านมา Fortinet ได้ออกแพตช์อุดช่องโหว่ Remote Code Execution ที่เกิดขึ้นบนซอฟต์แวร์ FotiClient Enterprise Management Server ซึ่งทางนักวิจัยจาก Horizon3 ก็ได้ออกมายืนยันผล PoC แล้วว่าสามารถโจมตีสำเร็จได้จริง ล่าสุด PoC Exploit ถูกปล่อยออกมาแล้ว ผู้ใช้ FortiClient EMS ควรรีบอัปเดตแพตช์โดยด่วน
ช่องโหว่ Remote Code Execution นี้เกิดขึ้นบน FortiClient Enterprise Management Server (EMS) ซึ่งเป็นซอฟต์แวร์บริหารจัดการอุปกรณ์ Endpoint ที่เชื่อมต่อผ่าน FortiClient มีรหัส CVE-2023-48788 ค้นพบโดย National Cyber Security Centre (NCSC) จากสหราชอาณาจักร เป็นช่องโหว่ที่ช่วยให้แฮ็กเกอร์สามารถทำ SQL injection บนฐานข้อมูล DB2 Administration Server (DAS) ได้ หากโจมตีสำเร็จ จะทำให้แฮ็กเกอร์สามารถลอบรันคำสั่งจากระยะไกลด้วยสิทธิ์ SYSTEM ได้ทันที ช่องโหว่นี้ส่งผลกระทบกับ FortiClient EMS เวอร์ชัน 7.0 (7.0.1 ถึง 7.0.10) และ 7.2 (7.2.0 ถึง 7.2.2)
ช่องโหว่นี้มีความรุนแรงระดับ Critical (9.3/10) และทาง Fortinet พบว่ามีรายงานการโจมตีผ่านช่องโหว่นี้แล้ว ในขณะที่ทีมนักวิจัยจาก Horizon3 ก็ได้ออกมายืนยันผล PoC ของช่องโหว่ดังกล่าวว่าสามารถโจมตีสำเร็จได้จริง ซึ่งล่าสุด Horizon3 ได้ออกมาแชร์ PoC Exploit และผลวิเคราะห์เชิงเทคนิคสู่สาธารณะเป็นที่เรียบร้อย เพื่อช่วยให้ผู้ใช้ FortiClient EMS ตรวจสอบและยืนยันได้ว่าซอฟต์แวร์ที่ต้นใช้งานอยู่มีช่องโหว่หรือไม่ โดยตัดส่วน Remote Code Execution ทิ้งไป
แนะนำให้ผู้ใช้ FortiClient EMS อัปเดตแพตช์เป็นเวอร์ชัน 7.2.3 หา อ 7.0.11 ขึ้นไปเพื่ออุดช่องโหว่โดยทันที
ดูรายงานผลวิเคราะห์เชิงเทคนิคได้ที่: https://www.horizon3.ai/attack-research/attack-blogs/cve-2023-48788-fortinet-forticlientems-sql-injection-deep-dive/
PoC Exploit: https://github.com/horizon3ai/CVE-2023-48788