Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Fortinet FortiClient Enterprise Management Server (EMS), zo laat Fortinet weten. Via het beveiligingslek (CVE-2023-48788) kan een ongeauthenticeerde aanvaller op afstand code en commando's op het systeem uitvoeren. Fortinet maakte op 12 maart een beveiligingsbulletin openbaar die voor de kwetsbaarheid waarschuwt en de beschikbaarheid van beveiligingsupdates meldt. Fortinet stelt dat de initiële publicatie op 22 februari plaatsvond, maar het bulletin heeft zelf een datum van 12 maart.

FortiClient EMS is een oplossing waarmee beheerders systemen waarop de FortiClient-software draait op afstand kunnen beheren. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. De software bevat een SQL Injection-kwetsbaarheid waardoor een ongeauthenticeerde aanvaller via een speciaal geprepareerde request ongeautoriseerde code of commando's kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

Gisteren publiceerde een securitybedrijf een uitgebreide beschrijving van de kwetsbaarheid en maakte een proof-of-concept exploit beschikbaar. In eerste instantie stond niet vermeld dat er misbruik van het beveiligingslek werd gemaakt, maar dat heeft Fortinet nu stilletjes aan het bulletin toegevoegd. De Australische overheid roept organisaties op om direct in actie te komen, de patches te installeren en te controleren of systemen al niet zijn gecompromitteerd.