Investigadores de seguridad han publicado un exploit de prueba de concepto (PoC) para una vulnerabilidad de máxima gravedad en la solución de gestión de eventos e información de seguridad (SIEM) de Fortinet, que fue parcheada en febrero.
Rastreado como CVE-2024-23108, este fallo de seguridad es una vulnerabilidad de inyección de comandos descubierta y reportada por el experto en vulnerabilidades de Horizon3 Zach Hanley que permite la ejecución remota de comandos como root sin requerir autenticación.
«Múltiples neutralizaciones inadecuadas de elementos especiales utilizados en una vulnerabilidad de Comandos OS [CWE-78] en el supervisor FortiSIEM pueden permitir a un atacante remoto no autenticado ejecutar comandos no autorizados a través de solicitudes API crafteadas», dice Fortinet.
La CVE-2024-23108 afecta a las versiones 6.4.0 y superiores de FortiClient FortiSIEM y fue parcheada por la compañía el 8 de febrero, junto con una segunda vulnerabilidad RCE (CVE-2024-23109) con una puntuación de gravedad de 10/10.
Tras negar en un primer momento que las dos CVEs fueran reales y afirmar que en realidad eran duplicados de un fallo similar (CVE-2023-34992) corregido en octubre, Fortinet también dijo que la revelación de las CVEs fue «un error a nivel de sistema» porque se generaron erróneamente debido a un problema con la API.
Sin embargo, la empresa confirmó finalmente que ambas eran variantes de CVE-2023-34992 con la misma descripción que la vulnerabilidad original.
El martes, más de tres meses después de que Fortinet lanzara actualizaciones de seguridad para parchear esta vulnerabilidad, el equipo de ataque de Horizon3 compartió un exploit de prueba de concepto (PoC) y publicó una profundización técnica.
«Mientras que los parches para el problema original de PSIRT, FG-IR-23-130, intentaban escapar de las entradas controladas por el usuario en esta capa añadiendo la utilidad wrapShellToken(), existe una inyección de comandos de segundo orden cuando se envían ciertos parámetros a datastore.py», dijo Hanley.
«Los intentos de explotar CVE-2024-23108 dejarán un mensaje de registro que contiene un comando fallido con datastore.py nfs test».
El exploit PoC publicado hoy por Horizon3 ayuda a ejecutar comandos como root en cualquier dispositivo FortiSIEM expuesto a Internet y sin parches.
El equipo de ataque de Horizon3 también publicó un exploit PoC para una falla crítica en el software FortiClient Enterprise Management Server (EMS) de Fortinet, que ahora se explota activamente en ataques.
Las vulnerabilidades de Fortinet se aprovechan con frecuencia -a menudo como día cero- en ataques de ransomware y ciberespionaje dirigidos a redes corporativas y gubernamentales.