Af Eskil Sørensen, 29/05/24
Sikkerhedsresearchere har frigivet en proof-of-concept (PoC) til en remote code execution- sårbarhed, der eksisterer i Fortinets løsning til sikkerhedsinformation og event management (SIEM). PoC-udnyttelsen gør det muligt at udføre kommandoer som root på Internet-vendte FortiSIEM-apparater.
Det skriver Security Affairs og Bleeping Computer.
Sårbarheden har id’et CVE-2024-23108 og en CVSS-score på 9,7. Den blev patchet tilbage i februar, og den tid har researchere altså bl.a. brugt på at udvikle en proof-of-concept. Også en anden sårbarhed CVE-2024-23109 (CVSS-score 10) blev patchet i februar, men det fremgår ikke, at denne også skulle være genstand for samme eller en anden PoC.
De berørte produkter er følgende:
- FortiSIEM version 7.1.0 til 7.1.1
- FortiSIEM version 7.0.0 til 7.0.2
- FortiSIEM version 6.7.0 til 6.7.8
- FortiSIEM version 6.6.0 til 6.6.3
- FortiSIEM version 6.5.0 til 6.5.2
- FortiSIEM version 6.4.0 til 6.4.2
Det er ikke rapporteret om egentlig aktiv udnyttelse, men det kan forventes, at det vil iværksættes udnyttelsesforsøg.
Det anbefales at opdatere i henhold til producentens anvisninger.
Links:
https://www.bleepingcomputer.com/news/security/exploit-released-for-maximum-severity-fortinet-rce-bug-patch-now/
https://securityaffairs.com/163797/hacking/fortinet-siem-critical-rce-poc.html
https://www.fortiguard.com/psirt/FG-IR-23-130