Güvenlik araştırmacıları, Fortinet’in güvenlik bilgileri ve olay yönetimi (SIEM) çözümünde Şubat ayında yamalanan maksimum önem derecesine sahip bir güvenlik açığına yönelik bir kavram kanıtlama (PoC) istismarı yayınladı.
CVE-2024-23108 olarak izlenen bu güvenlik açığı, Horizon3 güvenlik açığı uzmanı Zach Hanley tarafından keşfedilip bildirilen ve kimlik doğrulama gerektirmeden kök olarak uzaktan komut yürütülmesine olanak tanıyan bir komut yerleştirme güvenlik açığıdır.
“İşletim Sistemi Komutanlığı güvenlik açığında kullanılan özel öğelerin birden fazla uygunsuz şekilde etkisiz hale getirilmesi [CWE-78] Fortinet, FortiSIEM süpervizörünün, uzaktan kimlik doğrulaması yapılmamış bir saldırganın hazırlanmış API istekleri yoluyla yetkisiz komutlar yürütmesine izin verebileceğini söylüyor.
CVE-2024-23108, FortiClient FortiSIEM 6.4.0 ve üzeri sürümlerini etkiliyor ve şirket tarafından 10/10 ciddiyet puanına sahip ikinci bir RCE güvenlik açığıyla (CVE-2024-23109) birlikte 8 Şubat’ta yamalandı.
İlk olarak iki CVE’nin gerçek olduğunu inkar eden ve bunların aslında Ekim ayında düzeltilen benzer bir kusurun (CVE-2023-34992) kopyaları olduğunu iddia eden Fortinet, CVE’lerin ifşa edilmesinin “sistem düzeyinde bir hata” olduğunu, çünkü bunların yanlışlıkla yapıldığını söyledi. bir API sorunu nedeniyle oluşturuldu.
Ancak şirket sonunda her ikisinin de orijinal güvenlik açığıyla aynı açıklamaya sahip CVE-2023-34992 varyantları olduğunu doğruladı.
Salı günü, yani Fortinet’in bu güvenlik açığını düzeltmek için güvenlik güncellemelerini yayınlamasından üç ay sonra Horizon3’ün Saldırı Ekibi bir kavram kanıtlama (PoC) istismarını paylaştı ve teknik bir ayrıntılı inceleme yayınladı.
“Orijinal PSIRT sorunu olan FG-IR-23-130’un yamaları, sarmaShellToken() yardımcı programını ekleyerek bu katmandaki kullanıcı kontrollü girişlerden kaçmaya çalışırken, belirli parametreler datastore.py’ye eklendiğinde ikinci dereceden bir komut enjeksiyonu mevcuttur. gönderildi” dedi Hanley.
“CVE-2024-23108’den yararlanma girişimleri, datastore.py nfs testinde başarısız bir komut içeren bir günlük mesajı bırakacaktır.”
Horizon3 tarafından bugün yayımlanan PoC istismarı, komutların İnternet’e açık ve yama yapılmamış herhangi bir FortiSIEM cihazında root olarak çalıştırılmasına yardımcı oluyor.
Horizon3’ün Saldırı Ekibi ayrıca, Fortinet’in FortiClient Enterprise Management Server (EMS) yazılımındaki kritik bir kusur için, şu anda saldırılarda aktif olarak yararlanılan bir PoC istismarı yayınladı.
Fortinet’in güvenlik açıklarından, kurumsal ve devlet ağlarını hedef alan fidye yazılımları ve siber casusluk saldırılarında sıklıkla sıfır gün olarak yararlanılıyor.
Örneğin şirket Şubat ayında Çinli Volt Typhoon korsanlarının yakın zamanda ortaya çıkan bir kötü amaçlı yazılım türü olan Coathanger uzaktan erişim trojanını (RAT) dağıtmak için iki FortiOS SSL VPN kusurunu (CVE-2022-42475 ve CVE-2023-27997) kullandığını ortaya çıkardı. Hollanda Savunma Bakanlığı’nın askeri ağına arka kapı açmak için kullanıldı.