Güvenlik araştırmacıları, Şubat ayında yamalı olan Fortinet'in Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) çözümünde maksimum-şiddetli güvenlik açığı için bir kavram kanıtı (POC) istismar yayınladılar.
CVE-2024-23108 olarak izlenen bu güvenlik kusuru, Horizon3 güvenlik açığı uzmanı Zach Hanley tarafından, kimlik doğrulaması gerekmeden uzaktan komut yürütmeyi kök olarak sağlayan bir komut enjeksiyon güvenlik açığıdır.
Fortinet, "Bir OS komutu güvenlik açığı [CWE-78] 'de Fortisiem Süpervizöründe kullanılan özel unsurların çoklu uygunsuz nötralizasyonu, uzaktan kalmamış bir saldırganın hazırlanmış API istekleri aracılığıyla yetkisiz komutlar yürütmesine izin verebilir."
CVE-2024-23108, Forticlient Fortisiem sürümleri 6.4.0 ve daha yüksek bir etkiyi etkiler ve 8 Şubat'ta şirket tarafından 10/10 şiddet puanı ile ikinci bir RCE güvenlik açığı (CVE-2024-23109) ile yamalanmıştır.
İlk önce iki CVVE'nin gerçek olduğunu ve aslında benzer bir kusurun (CVE-2023-34992) kopyaları olduğunu iddia ettikten sonra, Fortinet ayrıca CVES'in açıklanmasının "sistem düzeyinde bir hata" olduğunu söyledi çünkü yanlışlıkla bir API sorunu nedeniyle oluşturulur.
Bununla birlikte, şirket sonunda orijinal güvenlik açığı ile aynı açıklamaya sahip CVE-2023-34992 varyantları olduğunu doğruladı.
Salı günü, Fortinet'in bu güvenlik kusurunu yamalamak için güvenlik güncellemeleri yayınladıktan üç ay sonra, Horizon3'ün saldırı ekibi bir kavram kanıtı (POC) istismarını paylaştı ve teknik bir dalış yayınladı.
"Orijinal PSIRT sorunu için yamalar, FG-IR-23-130, wrapshellToken () yardımcı programını ekleyerek bu katmanda kullanıcı tarafından kontrol edilen girişlerden kaçmaya çalışırken, DataStore.py.ty bazı parametreler olduğunda ikinci dereceden bir komut enjeksiyonu var. Gönderildi, "dedi Hanley.
"CVE-2024-23108'den yararlanma denemeleri, datastore.py NFS testi ile başarısız bir komut içeren bir günlük mesajı bırakacaktır."
Bugün Horizon3 tarafından yayınlanan POC istismarı, herhangi bir internete maruz kalan ve açılmamış Fortisiem cihazlarında komutların kök olarak yürütülmesine yardımcı olur.
Horizon3'ün saldırı ekibi, Fortinet'in Forticlient Enterprise Management Server (EMS) yazılımında kritik bir kusur için POC istismarını da yayınladı ve bu da saldırılarda aktif olarak kullanıldı.
Fortinet güvenlik açıkları, şirket ve hükümet ağlarını hedefleyen fidye yazılımı ve siber casusluk saldırılarında sıklıkla sıfır günler olarak kullanılır.
Örneğin şirket, Şubat ayında Çin Volt Typhoon hacker'larının, son zamanlarda da yakın zamanda olan bir kobangan uzaktan erişim trojan (sıçan), dağıtmak için iki Fortios SSL VPN kusuru (CVE-2022-42475 ve CVE-2023-27997) kullandığını açıkladı. Hollanda Savunma Bakanlığı'nın askeri bir ağını geri almak için kullanılır.
QNAP QTS Sıfır Gündeki Paylaşım Özelliği Halka Giriyor RCE istismar
Maksimum ciddiyet Flowmon Bug, halka açık bir istismar var, şimdi yama
Kritik akıcı bit kusuru tüm büyük bulut sağlayıcılarını etkiler
D-Link Exo AX4800 yönlendiriciler
SMS saldırısına açık endüstriyel IoT cihazlarında yaygın olarak kullanılan modemler
Kaynak: Bleeping Computer