Iskorištavanje dokaza o konceptu (PoC) je objavljeno za kritičnu ranjivost neautorizovanog, udaljenog izvršavanja koda u Fortinet FortiSIEM, praćenu kao CVE-2023-34992 .
Ranjivost, koja ima CVSS ocjenu 10,0, otkrili su istraživači na Horizon3.ai tokom revizije Fortinet uređaja početkom 2023. godine.
Fortinet FortiSIEM je sveobuhvatno rješenje za upravljanje sigurnosnim informacijama i događajima (SIEM) koje pruža mogućnosti prikupljanja dnevnika, podudarnosti, automatskog odgovora i rekonstrukcije.
RCE ranjivost i PoC
Kritična ranjivost je pronađena tokom revizije Fortinet uređaja, otkrivajući nekoliko problema koji su rezultovali otkrivanjem ove značajne mane.
Analizom dekompiliranog Java koda, istraživači su otkrili da doPost metoda LicenseUploadServlet nedovoljno dezinfikuje korisnički unos, dozvoljavajući napadaču da ubaci proizvoljne komande preko parametra “Name”
FortiSIEM-ov backend web servis je postavljen preko Glassfish-a, Java framework-a. Ranjivost se nalazi LicenseUploadServlet.classunutar web usluge.
Utvrđeno je da je metoda doPostovog servleta podložna ubrizgavanju komandi, omogućavajući neovlaštenim napadačima da iskoriste sistem.
PoC pokazuje kako napadač može iskoristiti ovu ranjivost da bi dobio neautorizovano udaljeno izvršenje koda.
Iskorištavanjem LicenseUploadServlet, napadač može učitati zlonamjerno opterećenje koje izvršava naredbe u kontekstu root korisnika.
Ovaj pristup se može koristiti za čitanje tajni iz integrisanih sistema, omogućavajući dalje bočno kretanje unutar mreže. Kompletan PoC se može naći na GitHubu .
Uspješno iskorištavanje CVE-2023-34992 omogućava napadačima da:
- Izvršite proizvoljne naredbe kao root korisnik.
- Čitaju osjetljive informacije i tajne iz integrisanih sistema.
- Preusmjerite se na druge sisteme unutar mreže, što može dovesti do široko rasprostranjenog kompromisa.
Ublažavanje
Fortinet je ispravio ovu ranjivost u nedavnom ažuriranju. Bilo koja verzija FortiSIEM-a od 6.4.0 do 7.1.1 je u opasnosti. Fortinet je izdao ekstenzije za verzije 7.0.3, 7.1.3 i 6.7.9 i preporučuje se nadogradnja na ove ili novije verzije.
Štaviše, uskoro se očekuje da će ekstenzije za verzije 7.2.0, 6.6.5, 6.5.3 i 6.4.4 biti objavljene.
Korisnicima se snažno savjetuje da primjenjuju najnovije ekstenzije kako bi umanjili rizik. Dodatno, preporučuje se da se prate najbolje prakse za obezbjeđivanje SIEM implementacije, kao što je ograničavanje pristupa interfejsu za upravljanje i redovna revizija konfiguracije sistema.
Organizacije koje koriste FortiSIEM treba da pregledaju svoje dnevnike za bilo kakvu neuobičajenu aktivnost, posebno u datoteci /opt/phoenix/logs/phoenix.logskoja bi potencijalno mogla da sadrži sadržaj poruka primljenih za uslugu phMonitor.
Organizacije koje koriste Fortinet FortiSIEM treba da daju prioritet ažuriranju svojih sistema radi zaštite od potencijalne eksploatacije ove teške ranjivosti.
Izvor: CyberSecurityNews