Критична уязвимост в SIEM решението на Fortinet вече има и PoC

Proof of Concept на експлойт за уязвимост в SIEM решението решението на Fortinet бе публикуван от екипа на Horizon3.

С него се демонстрира нагледно как оповестената през февруари уязвимост CVE-2024-23108 може да бъде използвана срещу потребителите ѝ, които не са патчнали решението.

Открита и докладвана от експерта по уязвимости на Horizon3 Зак Ханли, CVE-2024-23108  позволява дистанционно изпълнение на команди с root привилегии без необходимост от удостоверяване. Причината за пробойната в сигурността са множество неправилни неутрализации на специални елементи в OS командите (CWE-78), засяга версии 6.4.0 и по-нови на FortiSIEM. Fortinet поправи уязвимостта на 8 февруари, заедно с втора уязвимост за дистанционно изпълнение на код (RCE) (CVE-2024-23109), и двете със сериозност 10/10.

Първоначално Fortinet отрече валидността на тези CVE, твърдейки, че са дублирани на вече поправена уязвимост (CVE-2023-34992), която беше отстранена през октомври. Компанията приписа новите CVE на „системна грешка“ поради проблем с API. Въпреки това, Fortinet по-късно потвърди, че CVE-2024-23108 и CVE-2024-23109 са варианти на CVE-2023-34992 с едно и също описание.

Във вторник, повече от три месеца след актуализациите на сигурността на Fortinet, екипът на Horizon3 за атаки публикува PoC експлойт и подробен технически анализ. Ханли обясни, че първоначалните поправки за проблема PSIRT (FG-IR-23-130) включваха помощната програма wrapShellToken() за избягване на потребителски контролирани входове. Въпреки това, уязвимостта за вторично инжектиране на команди остава с възможност за експлоатиране, когато определени параметри се изпращат към скрипта datastore.py.

„Опитите за експлоатиране на CVE-2024-23108 ще оставят съобщение в лога, съдържащо неуспешна команда с datastore.py nfs test,“ отбеляза Ханли.

Публикуваният PoC експлойт позволява изпълнение на команди като root на всяко изложено в интернет и неподдържано FortiSIEM устройство, подчертавайки спешността за организациите да прилагат най-новите актуализации за сигурност.

Екипът на Horizon3 също така разкри PoC експлойт за критична уязвимост в софтуера за управление на клиенти FortiClient Enterprise Management Server (EMS) на Fortinet, която в момента се използва активно в атаки.

Уязвимостите на Fortinet често са цел на кампании за рансъмуер и кибершпионаж срещу корпоративни и правителствени мрежи. По-рано тази година, Fortinet разкри, че китайските хакери от Volt Typhoon са експлоатирали две уязвимости в FortiOS SSL VPN (CVE-2022-42475 и CVE-2023-27997), за да разположат Coathanger remote access trojan (RAT). Този зловреден софтуер наскоро беше използван за задна врата на военна мрежа на Министерството на отбраната на Нидерландия.

Последното публикуване на PoC подчертава постоянната заплаха от неподдържани системи на Fortinet и критичната необходимост организациите да останат бдителни и проактивни в своите усилия за подобрение на киберсигурността.