Видео [OFF-BY-ONE 2025] Патч диффинг мое оружие. Глубокое изучение двух критических N-Day уязвимостей в FortiGate

[weaver]

Patch Diffing, You Are My Sword! A Deep Dive into Two Critical N-day Vulnerabilities in FortiGate

Описание

В последние годы FortiGate является привлекательной мишенью. В начале 2024 года компания Fortinet исправила две критические уязвимости, затрагивающие устройство FortiGate, а именно CVE-2024-21762 и CVE-2024-23113, обе из которых могут быть использованы для неаутентифицированного удаленного выполнения кода. В этой презентации мы расскажем, как с помощью метода патч диффинга найти эти две уязвимости, и как добиться надежного выполнения кода на устройстве.


В FortiGate почти все программы и конфигурации скомпилированы в один огромный бинарный файл /bin/init. У каждой монеты есть две стороны. С таким огромным бинарником проще найти rop-гаджеты, но это настоящая головная боль при патч диффинге. Сначала мы расскажем о том, как мы использовали трюк, чтобы облегчить патч дифиинг и быстро выявить эти две уязвимости.


Что касается уязвимостей, то CVE-2024-23113 - это уязвимость форматной строки, обнаруженная в компоненте fgfmd. Мы кратко расскажем о формате протокола, используемого для взаимодействия со службой fgfmd, а затем расскажем, как мы используем технику частичной эмуляции для эксплуатации уязвимости без необходимости использования работающего устройства. Более интересной является CVE-2024-21762, уязвимость записи за пределы границ в компоненте sslvpnd. Проблема с этим примитивом записи заключается в невозможности контроля над тем, что записывается. В начале марта 2024 года мы впервые опубликовали в китайском блоге (https://mp.weixin.qq.com/s/FFjIMzbLBxwO7hHZJF6Zuw) демонстрацию возможности ее эксплуатации. Мы расскажем о том, как мы используем технику heap fengshui для более надежной эксплуатации этой уязвимости и достижения выполнения кода.

https://offbyone.sg/conference/qian-chen-zibo-li

Видео
youtube.com/watch?v=1pO7CUGpXH8