Categories: NOTÍCIAS EM GERAL

Exploit PoC para RCE do FortinetSIEM é publicado

Em fevereiro, o fornecedor de segurança cibernética Fortinet alertou sobre duas vulnerabilidades críticas no FortiSIEM, rastreadas como CVE-2024-23108 e CVE-2024-23109 (pontuação CVSS 10), que poderiam levar à execução remota de código.

“Múltiplas neutralizações inadequadas de elementos especiais usados ​​em uma vulnerabilidade de comando do sistema operacional [CWE-78] no supervisor FortiSIEM podem permitir que um invasor remoto não autenticado execute comandos não autorizados por meio de solicitações de API criadas.” lê o  comunicado  publicado pela Fortinet.

Os produtos afetados são:

  • FortiSIEM versão 7.1.0 a 7.1.1
  • FortiSIEM versão 7.0.0 a 7.0.2
  • FortiSIEM versão 6.7.0 a 6.7.8
  • FortiSIEM versão 6.6.0 a 6.6.3
  • FortiSIEM versão 6.5.0 a 6.5.2
  • FortiSIEM versão 6.4.0 a 6.4.2

O CERT-EU também publicou um comunicado para as vulnerabilidades acima:

“Em fevereiro de 2024, a Fortinet atualizou discretamente um comunicado de 2023, juntando dois fluxos críticos à lista de vulnerabilidades do OS Command que afetam seu produto FortiSIEM. Se exploradas, essas vulnerabilidades podem permitir que um invasor remoto não autenticado execute comandos no sistema.” lê o  comunicado  publicado pelo CERT-EU. “A atualização é recomendada o mais rápido possível.”

Esta semana, a equipe de ataque do Horizon3 também publicou uma  análise técnica da vulnerabilidade.

“Embora os patches para o problema original do PSIRT,  FG-IR-23-130 , tentassem escapar das entradas controladas pelo usuário nesta camada adicionando o  wrapShellToken() utilitário, existe uma injeção de comando de segunda ordem quando certos parâmetros  datastore.py são enviados. Pronto”, diz a análise .

Os pesquisadores notaram que os logs do serviço phMonitor, localizados em /opt/phoenix/logs/phoenix.log, fornecem registros detalhados das mensagens recebidas. Qualquer tentativa de exploração de CVE-2024-23108 gerará entradas de log indicando uma falha no comando com “datastore.py nfs test”. Estas linhas devem ser utilizadas como indicadores de comprometimento para detectar tentativas de exploração.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja
Tags: cybernewscybersecuritycyberwarfortinetsiemhackingpoc
1 ano ago

Recent Posts

Instalador falso do AnyDesk espalha o MetaStealer por meio do golpe ClickFix

Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…

1 dia ago

Atores de ameaças abusam da IA ​​Grok do X para espalhar links maliciosos

Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…

1 dia ago

WinRAR 0day: Explorações em andamento

As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.

3 semanas ago

Escritórios do governo na Carolina do Norte, Geórgia, sofrem ataques cibernéticos

Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…

3 meses ago

Nytheon AI Tool está ganhando tração em forums de Hacking

O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…

3 meses ago

Nova Vulnerabilidade 0day de Injection no Salesforce SOQL Expõe Milhões de Implantações

Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…

3 meses ago