PoC pro kritickou zranitelnost CVE-2024-23108 v FortiSIEM

Bezpečnostní výzkumníci zveřejnili PoC pro zneužití kritické zranitelnosti sledované jako  CVE-2024-23108 s CVSS v3 score 10 v SIEM systému FortiSIEM. Jedná se o zranitelnost typu command injection, kterou objevil a nahlásil odborník na zranitelnosti Zach Hanley z Horizon3 a která umožňuje vzdálené spuštění příkazu jako root bez nutnosti ověření.

Zranitelnost CVE-2024-23108 ovlivňuje FortiClient FortiSIEM verze 6.4.0 a vyšší a společnost ji opravila 8. února spolu s druhou zranitelností RCE(CVE-2024-23109) s hodnocením závažnosti 10/10.

V úterý, více než tři měsíce poté, co společnost Fortinet vydala bezpečnostní aktualizace opravující tuto bezpečnostní chybu, se útočný tým Horizon3 podělil o PoC a zveřejnil technickou analýzu.

Pokusy o zneužití CVE-2024-23108 zanechají zprávu v logu, která obsahuje neúspěšný příkaz  datastore.py nfs test.

Exploit PoC, který dnes zveřejnila společnost Horizon3, umožňuje spouštět příkazy jako root na jakémkoli neopraveném zařízení FortiSIEM.

Zranitelnosti společnosti Fortinet jsou často zneužívány - často jako zero-days - při ransomwarových a kyberšpionážních útocích zaměřených na podnikové a vládní sítě.