Las investigaciones de Horizon3.ai han publicado exploits de prueba de concepto (PoC) para CVE-2024-23108 y CVE-2023-34992, vulnerabilidades que permiten la ejecución remota de comandos no autenticados como root en ciertos dispositivos Fortinet FortiSIEM.
Confusión CVE
FortiSIEM ayuda a los clientes a crear un inventario de los activos de su organización, agrega registros y correlaciona información para la detección y búsqueda de amenazas, y permite respuestas y remediaciones automatizadas.
CVE-2024-23108 y CVE-2024-23109 son vulnerabilidades de inyección de comandos del sistema operativo en el supervisor FortiSIEM y pueden explotarse de forma remota, sin autenticación, con solicitudes API especialmente diseñadas.
Ambos marcados por Zach Hanley de Horizon3.ai, son variantes/omisiones de parche de CVE-2023-34992, que Fortinet solucionó en octubre de 2023.
Las dos variantes se solucionaron en enero de 2024 y se recomendó a los administradores que actualizaran.
(Fortinet creó cierta confusión con respecto a CVE-2024-23108 y CVE-2024-23109 porque inicialmente indicó que los dos CVE se asignaron erróneamente y luego dijo que eran variantes de CVE-2023-34992. Un correo electrónico que Hanley recibió de Fortinet PSIRT confirmó los CVE asignados.)
Explotaciones de PoC e indicadores de compromiso
Hanley ha publicado PoC para CVE-2024-23108 y CVE-2023-34992 en GitHub.
Hanley ha señalado que «hay muy poca diferencia en la explotación de la inyección de comando anterior, CVE-2023-34992, a ésta, CVE-2024-23108, reportada 6 meses después», y dijo que los intentos de explotarlos dejarán evidencia en los registros del servicio phMonitor. Por ejemplo, los intentos de explotar CVE-2024-23108 dejarán un mensaje de registro que contiene un comando fallido con datastore.py nfs test .
Los administradores deben verificar sus instalaciones de FortiSIEM y (si aún no lo han hecho) actualizar a una versión que contenga la solución .
Las vulnerabilidades en las soluciones de Fortinet a menudo son aprovechadas por atacantes en la naturaleza , pero aún no se menciona que estas hayan sido explotadas.
Fuente y redacción: helpnetsecurity.com
