Търсене
Close this search box.

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство за концептуален експлойт за уязвимост с максимална степен на опасност в решението на Fortinet за управление на информация и събития в областта на сигурността (SIEM), която беше поправена през февруари.

Проследен като CVE-2024-23108, този недостатък в сигурността е уязвимост за инжектиране на команди, открита и докладвана от експерта по уязвимости на Horizon3 Зак Ханли, която позволява отдалечено изпълнение на команди като root, без да се изисква удостоверяване.

„Многократното неправилно неутрализиране на специалните елементи, използвани в уязвимостта OS Command [CWE-78] в супервайзора FortiSIEM, може да позволи на отдалечен неаутентифициран нападател да изпълни неоторизирани команди чрез изработени API заявки“, казва Fortinet.

CVE-2024-23108 засяга FortiClient FortiSIEM версии 6.4.0 и по-високи и беше поправена от компанията на 8 февруари заедно с втора RCE уязвимост (CVE-2024-23109) с оценка на сериозността 10/10.

След като първо отрече, че двете CVE са реални, и заяви, че те всъщност са дубликати на подобен недостатък (CVE-2023-34992), поправен през октомври, Fortinet също така заяви, че разкриването на CVE е „грешка на системно ниво“, тъй като те са били погрешно генерирани поради проблем с API.

В крайна сметка обаче компанията потвърди, че и двете са варианти на CVE-2023-34992 със същото описание като на оригиналната уязвимост.

Във вторник, повече от три месеца след като Fortinet пусна актуализации на сигурността, за да поправи този недостатък, екипът за атаки на Horizon3 сподели доказателство за концептуален (PoC) експлойт и публикува техническо задълбочаване.

„Въпреки че кръпките за оригиналния проблем на PSIRT, FG-IR-23-130, се опитваха да избегнат контролираните от потребителя входове на това ниво чрез добавяне на помощната програма wrapShellToken(), съществува инжектиране на команда от втори ред, когато се изпращат определени параметри към datastore.py“, каза Ханли.

„Опитите за експлоатиране на CVE-2024-23108 ще оставят съобщение в дневника, съдържащо неуспешна команда с datastore.py nfs test.“

Експлойтът PoC, публикуван днес от Horizon3, помага да се изпълняват команди като root на всички изложени на интернет и непоправени устройства FortiSIEM.

Екипът за атаки на Horizon3 също така пусна PoC експлойт за критичен недостатък в софтуера FortiClient Enterprise Management Server (EMS) на Fortinet, който сега се използва активно при атаки.

Уязвимостите на Fortinet често се експлоатират – често като нулеви дни – в ransomware атаки и кибершпионаж, насочени към корпоративни и правителствени мрежи.

Например през февруари компанията разкри, че китайските хакери Volt Typhoon са използвали два недостатъка на FortiOS SSL VPN (CVE-2022-42475 и CVE-2023-27997), за да разгърнат троянеца за отдалечен достъп (RAT) Coathanger – щам на зловреден софтуер, който наскоро беше използван и за задно проникване във военна мрежа на холандското министерство на отбраната.

 

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
14/06/2024

Как да повишим киберсигурно...

Технологичният пейзаж се променя бързо, което...
14/06/2024

Заплахата от подмяна на SIM...

Въпреки че измамите с подмяна на...
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!