Fortinet FortiSIEM’de, CVE-2023-34992 olarak takip edilen, kimlik doğrulaması yapılmamış kritik bir uzaktan kod yürütme güvenlik açığı için bir kavram kanıtlama (PoC) açığı yayınlandı.
CVSS puanı 10,0 olan güvenlik açığı, Horizon3.ai araştırmacıları tarafından 2023’ün başlarında Fortinet cihazlarının denetimi sırasında keşfedildi.
Fortinet FortiSIEM, günlük toplama, korelasyon, otomatik yanıt ve düzeltme yetenekleri sağlayan kapsamlı bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümüdür.
RCE Güvenlik Açığı ve PoC
Fortinet cihazlarının denetimi sırasında kritik bir güvenlik açığı bulundu ve bu önemli kusurun keşfedilmesiyle sonuçlanan birçok sorun ortaya çıktı.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Araştırmacılar, derlenmemiş Java kodunu analiz ederek şunları buldu: doPost
yöntemi LicenseUploadServlet
kullanıcı girişini yeterince temizleyerek bir saldırganın “Ad” parametresi aracılığıyla rastgele komutlar vermesine olanak tanır
FortiSIEM’in arka uç web hizmeti, bir Java çerçevesi olan Glassfish aracılığıyla dağıtılır. Güvenlik açığı mevcut LicenseUploadServlet.class
web hizmeti içinde.
doPost
Bu servlet’in yönteminin komut enjeksiyonuna duyarlı olduğu ve kimliği doğrulanmamış saldırganların sistemden yararlanmasına izin verdiği görüldü.
PoC, bir saldırganın kimliği doğrulanmamış uzaktan kod yürütme elde etmek için bu güvenlik açığından nasıl yararlanabileceğini gösterir.
İstismar ederek LicenseUploadServlet
Saldırgan, kök kullanıcı bağlamında komutları yürüten kötü amaçlı bir veri yükleyebilir.
Bu erişim, entegre sistemlerden sırları okumak için kullanılabilir ve ağ içinde daha fazla yanal harekete olanak tanır. PoC’nin tamamı GitHub’da bulunabilir.
CVE-2023-34992’nin başarıyla kullanılması saldırganların şunları yapmasına olanak tanır:
- Kök kullanıcı olarak rastgele komutları yürütün.
- Entegre sistemlerden hassas bilgileri ve sırları okuyun.
- Ağ içindeki diğer sistemlere yönelin ve potansiyel olarak geniş çapta uzlaşmaya yol açın.
Azaltma
Fortinet yakın zamanda yapılan bir güncellemeyle bu güvenlik açığını giderdi. 6.4.0’dan 7.1.1’e kadar olan tüm FortiSIEM sürümleri risk altındadır. Fortinet 7.0.3, 7.1.3 ve 6.7.9 sürümleri için yamalar yayınlamıştır ve bu sürümlere veya daha yeni sürümlere yükseltme yapılması önerilir.
Ayrıca 7.2.0, 6.6.5, 6.5.3 ve 6.4.4 sürümlerine yönelik yamaların da yakın zamanda yayınlanması bekleniyor.
Kullanıcıların riski azaltmak için en son yamaları uygulamaları şiddetle tavsiye edilir. Ayrıca, yönetim arayüzüne erişimin kısıtlanması ve sistem yapılandırmalarının düzenli olarak denetlenmesi gibi SIEM dağıtımlarının güvenliğini sağlamaya yönelik en iyi uygulamaların izlenmesi önerilir.
FortiSIEM’i kullanan kuruluşlar, özellikle dosyadaki olağandışı etkinliklere karşı günlüklerini incelemelidir. /opt/phoenix/logs/phoenix.logs
Bu, phMonitor hizmeti için alınan mesajların içeriğini potansiyel olarak tutabilir.
Fortinet FortiSIEM kullanan kuruluşlar, bu ciddi güvenlik açığından yararlanma potansiyeline karşı koruma sağlamak için sistemlerini güncellemeye öncelik vermelidir.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın