Horizon3.ai araştırmaları, CVE-2024-23108 ve CVE-2023-34992 için kavram kanıtı (PoC) açıklarından yararlanan güvenlik açıklarını, belirli Fortinet FortiSIEM cihazlarında kök olarak uzaktan, kimliği doğrulanmamış komut yürütülmesine izin veren güvenlik açıklarını yayınladı.
CVE karışıklığı
FortiSIEM, müşterilerin kuruluşlarının varlıklarının bir envanterini oluşturmalarına yardımcı olur, tehdit tespiti ve avcılığı için günlükleri toplar ve bilgileri ilişkilendirir ve otomatik yanıt ve düzeltmeye olanak tanır.
CVE-2024-23108 ve CVE-2024-23109, FortiSIEM denetleyicisindeki işletim sistemi komut ekleme güvenlik açıklarıdır ve özel hazırlanmış API istekleriyle kimlik doğrulaması olmadan uzaktan kullanılabilir.
Her ikisi de Horizon3.ai’den Zach Hanley tarafından işaretlenmiştir; bunlar, Fortinet’in Ekim 2023’te düzelttiği CVE-2023-34992’nin varyantları/yama baypaslarıdır.
İki değişken Ocak 2024’te düzeltildi ve yöneticilere yükseltme yapmaları önerildi.
(Fortinet, CVE-2024-23108 ve CVE-2024-23109 ile ilgili bazı karışıklıklar yarattı çünkü başlangıçta iki CVE’nin hatalı şekilde atandığını belirtti, daha sonra bunların CVE-2023-34992’nin varyantları olduğunu söyledi.
PoC istismarları ve uzlaşma göstergeleri
PoC’ler CVE-2024-23108 Ve CVE-2023-34992 Hanley tarafından GitHub’da yayınlandı.
Hanley’nin var kayıt edilmiş “önceki CVE-2023-34992 komut enjeksiyonunun kullanımı ile 6 ay sonra rapor edilen CVE-2024-23108 komut enjeksiyonunun kullanımı arasında çok az fark olduğunu” ve bunları kullanma girişimlerinin kanıt bırakacağını söyledi. phMonitor hizmeti için günlükler. Örneğin, CVE-2024-23108’den yararlanma girişimleri, başarısız bir komut içeren bir günlük mesajı bırakacaktır. datastore.py nfs testi.
Yöneticiler FortiSIEM kurulumlarını kontrol etmeli ve (henüz yapmamışlarsa) düzeltmeyi içeren bir sürüm.
Fortinet çözümlerindeki güvenlik açıkları sıklıkla kaldıraçlı saldırganlar tarafından vahşi doğada ancak bunların sömürüldüğünden henüz söz edilmiyor.
0 Yorumlar