Дослідники безпеки випустили PoC-експлойт для вразливості максимального ступеня серйозності в рішенні для управління інформацією та подіями безпеки (SIEM) Fortinet. Про це повідомляє BleepingComputer.
Ця помилка безпеки, яка відстежується як CVE-2024-23108, є вразливістю ін’єкції команди, яку виявив експерт з вразливостей Horizon3 Зак Хенлі. Вразливість дає змогу віддалено виконувати команди від імені користувача без необхідності автентифікації.
«Кілька неналежних нейтралізацій спеціальних елементів, які використовуються у вразливості OS Command (CWE-78) у системі керування FortiSIEM, можуть дозволити віддаленому неавтентифікованому зловмиснику виконувати неавторизовані команди через створені запити API», – кажуть у Fortinet.
CVE-2024-23108 впливає на FortiClient FortiSIEM версії 6.4.0 і новіших і була виправлена компанією 8 лютого разом із другою вразливістю RCE (CVE-2024-23109) з оцінкою серйозності 10/10.
Через 3 місяці після того, як Fortinet випустив оновлення безпеки для виправлення цієї вади безпеки, команда Attack Team Horizon3 поділилася експлойтом для підтвердження концепції (PoC) та опублікувала детальну технічну інформацію.
«Хоча патчі для оригінальної проблеми PSIRT (FG-IR-23-130) намагалися уникнути контрольованих користувачем вводів на цьому рівні, додавши утиліту wrapShellToken(), існує ін’єкція команди другого порядку, коли певні параметри передаються в datastore.py. Спроби використання CVE-2024-23108 залишать повідомлення журналу, що містить невдалу команду з тестом datastore.py nfs», – сказав Хенлі.
Експлойт PoC, опублікований компанією Horizon3, допомагає виконувати команди від імені користувача root на будь-яких пристроях FortiSIEM, доступних до Інтернету й не виправлених.
Команда атаки Horizon3 також випустила PoC-експлойт для критичної вади у програмному забезпеченні FortiClient Enterprise Management Server (EMS) Fortinet, який зараз активно використовується в атаках.
Вразливості Fortinet часто використовуються (здебільшого як нульові дні) у програмах-вимагачах та атаках кібершпигунів, націлених на корпоративні та державні мережі.
Наприклад, у лютому компанія виявила, що китайські хакери Volt Typhoon використали два недоліки FortiOS SSL VPN (CVE-2022-42475 і CVE-2023-27997) для розгортання трояна віддаленого доступу Coathanger (RAT). Це різновид шкідливого програмного забезпечення, яке також нещодавно використовувалося для бекдору військової мережі Міністерства оборони Нідерландів.
Раніше ProIT повідомляв, що IBM і Fortinet випустили віртуальний пристрій для захисту хмарної безпеки.
Читайте також на ProIT: Мейнфрейму виповнюється 60 років і він не планує виходити на пенсію.
А ще ми писали, що IBM використовує технологію DNS для покращення служби балансування навантаження.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
