Horizon3.ai araştırmaları, CVE-2024-23108 ve CVE-2023-34992 için kavram kanıtı (PoC) açıklarından yararlanan güvenlik açıklarını, belirli Fortinet FortiSIEM cihazlarında kök olarak uzaktan, kimliği doğrulanmamış komut yürütülmesine izin veren güvenlik açıklarını yayınladı.
CVE karışıklığı
FortiSIEM, müşterilerin kuruluşlarının varlıklarının bir envanterini oluşturmalarına yardımcı olur, tehdit tespiti ve avcılığı için günlükleri toplar ve bilgileri ilişkilendirir ve otomatik yanıt ve düzeltmeye olanak tanır.
CVE-2024-23108 ve CVE-2024-23109, FortiSIEM denetleyicisindeki işletim sistemi komut ekleme güvenlik açıklarıdır ve özel hazırlanmış API istekleriyle kimlik doğrulaması olmadan uzaktan kullanılabilir.
Her ikisi de Horizon3.ai’den Zach Hanley tarafından işaretlenmiştir; bunlar, Fortinet’in Ekim 2023’te düzelttiği CVE-2023-34992’nin varyantları/yama baypaslarıdır.
İki değişken Ocak 2024’te düzeltildi ve yöneticilere yükseltme yapmaları önerildi.
(Fortinet, CVE-2024-23108 ve CVE-2024-23109 ile ilgili bazı karışıklıklar yarattı çünkü başlangıçta iki CVE’nin hatalı şekilde atandığını belirtti, daha sonra bunların CVE-2023-34992’nin varyantları olduğunu söyledi. Hanley’nin Fortinet PSIRT’ten aldığı bir e-posta atanan CVE’leri onayladı.)
PoC istismarları ve uzlaşma göstergeleri
CVE-2024-23108 ve CVE-2023-34992 için PoC’ler Hanley tarafından GitHub’da yayınlandı.
Hanley, “önceki komut enjeksiyonu CVE-2023-34992’nin kullanımı ile 6 ay sonra rapor edilen CVE-2024-23108 arasında çok az fark olduğunu” belirtti ve bunları kullanma girişimlerinin sona ereceğini söyledi. phMonitor hizmetinin günlüklerindeki kanıtlar. Örneğin, CVE-2024-23108’den yararlanma girişimleri, başarısız bir komut içeren bir günlük mesajı bırakacaktır. datastore.py nfs testi.
Yöneticiler FortiSIEM kurulumlarını kontrol etmeli ve (henüz yapmamışlarsa) düzeltmeyi içeren bir sürüme yükseltme yapmalıdır.
Fortinet çözümlerindeki güvenlik açıklarından genellikle saldırganlar yararlanıyor ancak bunların istismar edildiğinden henüz bahsedilmiyor.