Exploit PoC para RCE do FortinetSIEM é publicado
Pesquisadores de segurança da equipe de ataque da Horizon3 lançaram uma exploração de prova de conceito (PoC) para um problema de execução remota de código, rastreado como CVE-2024-23108 , na solução SIEM da Fortinet. A exploração PoC permite executar comandos como root em dispositivos FortiSIEM voltados para a Internet.
Em fevereiro, o fornecedor de segurança cibernética Fortinet alertou sobre duas vulnerabilidades críticas no FortiSIEM, rastreadas como CVE-2024-23108 e CVE-2024-23109 (pontuação CVSS 10), que poderiam levar à execução remota de código.
“Múltiplas neutralizações inadequadas de elementos especiais usados em uma vulnerabilidade de comando do sistema operacional [CWE-78] no supervisor FortiSIEM podem permitir que um invasor remoto não autenticado execute comandos não autorizados por meio de solicitações de API criadas.” lê o comunicado publicado pela Fortinet.
Os produtos afetados são:
- FortiSIEM versão 7.1.0 a 7.1.1
- FortiSIEM versão 7.0.0 a 7.0.2
- FortiSIEM versão 6.7.0 a 6.7.8
- FortiSIEM versão 6.6.0 a 6.6.3
- FortiSIEM versão 6.5.0 a 6.5.2
- FortiSIEM versão 6.4.0 a 6.4.2
O CERT-EU também publicou um comunicado para as vulnerabilidades acima:
“Em fevereiro de 2024, a Fortinet atualizou discretamente um comunicado de 2023, juntando dois fluxos críticos à lista de vulnerabilidades do OS Command que afetam seu produto FortiSIEM. Se exploradas, essas vulnerabilidades podem permitir que um invasor remoto não autenticado execute comandos no sistema.” lê o comunicado publicado pelo CERT-EU. “A atualização é recomendada o mais rápido possível.”
Esta semana, a equipe de ataque do Horizon3 também publicou uma análise técnica da vulnerabilidade.
“Embora os patches para o problema original do PSIRT, FG-IR-23-130 , tentassem escapar das entradas controladas pelo usuário nesta camada adicionando o wrapShellToken()
utilitário, existe uma injeção de comando de segunda ordem quando certos parâmetros datastore.py
são enviados. Pronto”, diz a análise .
Os pesquisadores notaram que os logs do serviço phMonitor, localizados em /opt/phoenix/logs/phoenix.log, fornecem registros detalhados das mensagens recebidas. Qualquer tentativa de exploração de CVE-2024-23108 gerará entradas de log indicando uma falha no comando com “datastore.py nfs test”. Estas linhas devem ser utilizadas como indicadores de comprometimento para detectar tentativas de exploração.