Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство за концептуален експлойт за уязвимост с максимална степен на опасност в решението на Fortinet за управление на информация и събития в областта на сигурността (SIEM), която беше поправена през февруари.

Проследен като CVE-2024-23108, този недостатък в сигурността е уязвимост за инжектиране на команди, открита и докладвана от експерта по уязвимости на Horizon3 Зак Ханли, която позволява отдалечено изпълнение на команди като root, без да се изисква удостоверяване.

„Многократното неправилно неутрализиране на специалните елементи, използвани в уязвимостта OS Command [CWE-78] в супервайзора FortiSIEM, може да позволи на отдалечен неаутентифициран нападател да изпълни неоторизирани команди чрез изработени API заявки“, казва Fortinet.

CVE-2024-23108 засяга FortiClient FortiSIEM версии 6.4.0 и по-високи и беше поправена от компанията на 8 февруари заедно с втора RCE уязвимост (CVE-2024-23109) с оценка на сериозността 10/10.

След като първо отрече, че двете CVE са реални, и заяви, че те всъщност са дубликати на подобен недостатък (CVE-2023-34992), поправен през октомври, Fortinet също така заяви, че разкриването на CVE е „грешка на системно ниво“, тъй като те са били погрешно генерирани поради проблем с API.

В крайна сметка обаче компанията потвърди, че и двете са варианти на CVE-2023-34992 със същото описание като на оригиналната уязвимост.

Във вторник, повече от три месеца след като Fortinet пусна актуализации на сигурността, за да поправи този недостатък, екипът за атаки на Horizon3 сподели доказателство за концептуален (PoC) експлойт и публикува техническо задълбочаване.

„Въпреки че кръпките за оригиналния проблем на PSIRT, FG-IR-23-130, се опитваха да избегнат контролираните от потребителя входове на това ниво чрез добавяне на помощната програма wrapShellToken(), съществува инжектиране на команда от втори ред, когато се изпращат определени параметри към datastore.py“, каза Ханли.

„Опитите за експлоатиране на CVE-2024-23108 ще оставят съобщение в дневника, съдържащо неуспешна команда с datastore.py nfs test.“

Експлойтът PoC, публикуван днес от Horizon3, помага да се изпълняват команди като root на всички изложени на интернет и непоправени устройства FortiSIEM.

Екипът за атаки на Horizon3 също така пусна PoC експлойт за критичен недостатък в софтуера FortiClient Enterprise Management Server (EMS) на Fortinet, който сега се използва активно при атаки.

Уязвимостите на Fortinet често се експлоатират – често като нулеви дни – в ransomware атаки и кибершпионаж, насочени към корпоративни и правителствени мрежи.

Например през февруари компанията разкри, че китайските хакери Volt Typhoon са използвали два недостатъка на FortiOS SSL VPN (CVE-2022-42475 и CVE-2023-27997), за да разгърнат троянеца за отдалечен достъп (RAT) Coathanger – щам на зловреден софтуер, който наскоро беше използван и за задно проникване във военна мрежа на холандското министерство на отбраната.

 

 

Източник: e-security.bg