Problema duplo para clientes Fortinet como par de vulnerabilidades críticas encontradas no FortiSIEM

O produto FortiSIEM da Fortinet é vulnerável a duas novas vulnerabilidades de segurança de gravidade máxima que permitem a execução remota de código.

Tanto o CVE-2024-23108 quanto o CVE-2024-23109 receberam pontuações provisórias de 10 na escala CVSS, sugerindo que as explorações podem ser realizadas remotamente por invasores não autenticados, são de baixa complexidade e não requerem interação do usuário para serem executadas.

Ao registrar as identidades CVE para as vulnerabilidades, a Fortinet vinculou-se ao seu próprio comunicado para fornecer mais informações, mas o link direciona os usuários para um problema mais antigo que foi resolvido no início de outubro de 2023.

“Múltiplas neutralizações inadequadas de elementos especiais usados ​​em uma vulnerabilidade de comando do sistema operacional [CWE-78] no supervisor FortiSIEM podem permitir que um invasor remoto não autenticado execute comandos não autorizados por meio de solicitações de API criadas”, diz a descrição da vulnerabilidade no comunicado.

Dando uma olhada nas versões mais antigas em cache do mesmo comunicado, podemos ver que a lista de produtos afetados foi atualizada recentemente, adicionando versões adicionais do FortiSIEM. Apesar do comunicado da Fortinet não ter sido oficialmente atualizado (ainda), ele sugere que as duas novas vulnerabilidades podem ser de natureza semelhante à corrigida em outubro, afetando versões mais recentes do FortiSIEM .

O Register pediu esclarecimentos à Fortinet sobre o assunto, mas não obteve resposta.

Também conversamos com o especialista em segurança de aplicativos Sean Wright, que disse que as duas vulnerabilidades mais recentes no FortiSIEM provavelmente serão classificadas como a mesma vulnerabilidade de outubro (CVE-2023-34992), ou pelo menos uma variação dela que afeta versões diferentes ou adicionais .

Esperamos que a Fortinet forneça alguma clareza sobre o assunto nos próximos dias, embora discernir as diferenças entre as vulnerabilidades, especialmente nos primeiros dias da divulgação, possa muitas vezes ser confuso para os profissionais de segurança que examinam detalhes conflitantes, já que estamos aqui com o que ainda está por vir. aviso ser atualizado .

As listagens do Banco de Dados Nacional de Vulnerabilidades para CVE-2024-23108 e CVE-2024-23109 indicam que ambos estão atualmente em revisão, portanto, provavelmente aprenderemos mais sobre os problemas posteriormente.

Embora não haja nenhum código de exploração conhecido publicamente disponível, os clientes da Fortinet vão querer resolver essas vulnerabilidades o mais rápido possível, dada a sua gravidade.

As seguintes versões foram confirmadas como vulneráveis:

• 7.1.0 a 7.1.1
• 7.0.0 a 7.0.2
• 6.7.0 a 6.7.8
• 6.6.0 a 6.6.3
• 6.5.0 a 6.5.2
• 6.4.0 a 6.4.2

Os clientes podem atualizar para a versão 7.1.2 hoje e ter essas vulnerabilidades corrigidas ou aguardar as próximas versões se, por algum motivo, a atualização para a versão mais recente for inviável.

A Fortinet disse que lançará novas versões para 7.0.x, 6.7.x, 6.6.x, 6.5.x e 6.4.x em breve, sem especificar uma data prevista. ®