Exploit PoC para RCE do FortinetSIEM é publicado

Em fevereiro, o fornecedor de segurança cibernética Fortinet alertou sobre duas vulnerabilidades críticas no FortiSIEM, rastreadas como CVE-2024-23108 e CVE-2024-23109 (pontuação CVSS 10), que poderiam levar à execução remota de código.

“Múltiplas neutralizações inadequadas de elementos especiais usados ​​em uma vulnerabilidade de comando do sistema operacional [CWE-78] no supervisor FortiSIEM podem permitir que um invasor remoto não autenticado execute comandos não autorizados por meio de solicitações de API criadas.” lê o  comunicado  publicado pela Fortinet.

Os produtos afetados são:

• FortiSIEM versão 7.1.0 a 7.1.1
• FortiSIEM versão 7.0.0 a 7.0.2
• FortiSIEM versão 6.7.0 a 6.7.8
• FortiSIEM versão 6.6.0 a 6.6.3
• FortiSIEM versão 6.5.0 a 6.5.2
• FortiSIEM versão 6.4.0 a 6.4.2

O CERT-EU também publicou um comunicado para as vulnerabilidades acima:

“Em fevereiro de 2024, a Fortinet atualizou discretamente um comunicado de 2023, juntando dois fluxos críticos à lista de vulnerabilidades do OS Command que afetam seu produto FortiSIEM. Se exploradas, essas vulnerabilidades podem permitir que um invasor remoto não autenticado execute comandos no sistema.” lê o  comunicado  publicado pelo CERT-EU. “A atualização é recomendada o mais rápido possível.”

Esta semana, a equipe de ataque do Horizon3 também publicou uma  análise técnica da vulnerabilidade.

“Embora os patches para o problema original do PSIRT,  FG-IR-23-130 , tentassem escapar das entradas controladas pelo usuário nesta camada adicionando o  wrapShellToken() utilitário, existe uma injeção de comando de segunda ordem quando certos parâmetros  datastore.py são enviados. Pronto”, diz a análise .

Os pesquisadores notaram que os logs do serviço phMonitor, localizados em /opt/phoenix/logs/phoenix.log, fornecem registros detalhados das mensagens recebidas. Qualquer tentativa de exploração de CVE-2024-23108 gerará entradas de log indicando uma falha no comando com “datastore.py nfs test”. Estas linhas devem ser utilizadas como indicadores de comprometimento para detectar tentativas de exploração.