Οι ερευνητές ασφαλείας κυκλοφόρησαν ένα exploit (PoC), για μια ευπάθεια μέγιστης σοβαρότητας RCE στη λύση διαχείρισης πληροφοριών ασφαλείας και διαχείρισης συμβάντων (SIEM) της Fortinet, η οποία διορθώθηκε τον Φεβρουάριο.
Δείτε επίσης: PoC exploit κυκλοφόρησε για RCE zero-day σε DIR-X4860 routers
Γνωστό ως CVE-2024-23108, αυτό το ελάττωμα ασφαλείας είναι μια ευπάθεια έγχυσης εντολών που ανακαλύφθηκε και αναφέρθηκε από τον ειδικό σε θέματα ευπάθειας, Zach Hanley, το οποίο επιτρέπει την απομακρυσμένη εκτέλεση εντολών ως root χωρίς να απαιτείται έλεγχος ταυτότητας.
“Πολλαπλή ακατάλληλη εξουδετέρωση ειδικών στοιχείων που χρησιμοποιούνται σε μια ευπάθεια OS Command [CWE-78] στον επόπτη FortiSIEM μπορεί να επιτρέψει σε έναν απομακρυσμένο μη πιστοποιημένο εισβολέα να εκτελεί μη εξουσιοδοτημένες εντολές μέσω δημιουργημένων αιτημάτων API“, λέει η Fortinet.
Το CVE-2024-23108 επηρεάζει τις εκδόσεις FortiClient FortiSIEM 6.4.0 και νεότερες και επιδιορθώθηκε από την εταιρεία στις 8 Φεβρουαρίου, μαζί με μια δεύτερη ευπάθεια RCE (CVE-2024-23109) με βαθμολογία σοβαρότητας 10/10.
Αφού πρώτα αρνήθηκε ότι τα δύο CVE ήταν πραγματικά και ισχυρίστηκε ότι ήταν στην πραγματικότητα αντίγραφα ενός παρόμοιου ελαττώματος (CVE-2023-34992) που διορθώθηκε τον Οκτώβριο, η Fortinet είπε επίσης ότι η αποκάλυψη των CVE ήταν “ένα σφάλμα σε επίπεδο συστήματος” επειδή ήταν ένα λάθος που δημιουργήθηκε λόγω προβλήματος API. Ωστόσο, η εταιρεία επιβεβαίωσε τελικά ότι ήταν και οι δύο παραλλαγές CVE-2023-34992 με την ίδια περιγραφή με την αρχική ευπάθεια.
Δείτε ακόμα: Τέσσερα κρίσιμα ελαττώματα RCE στο ArubaOS επιδιορθώνονται
Την Τρίτη, περισσότερο από τρεις μήνες αφότου η Fortinet κυκλοφόρησε ενημερώσεις ασφαλείας για να επιδιορθώσει αυτό το ελάττωμα ασφαλείας, η ομάδα Attack της Horizon3 μοιράστηκε ένα proof-of-concept (PoC) exploit του RCE και δημοσίευσε μια τεχνική βαθιά κατάδυση.
Το PoC exploit που κυκλοφόρησε σήμερα από την Horizon3 βοηθά στην εκτέλεση εντολών ως root σε οποιεσδήποτε συσκευές FortiSIEM που έχουν εκτεθεί στο Διαδίκτυο και δεν έχουν επιδιορθωθεί.
Η ομάδα Attack της Horizon3 κυκλοφόρησε επίσης ένα PoC exploit για ένα κρίσιμο ελάττωμα στο λογισμικό FortiClient Enterprise Management Server (EMS) της Fortinet, το οποίο πλέον χρησιμοποιείται ενεργά σε επιθέσεις. Τα τρωτά σημεία του Fortinet χρησιμοποιούνται συχνά -συχνά ως zero-days– σε επιθέσεις ransomware και κατασκοπείας στον κυβερνοχώρο που στοχεύουν εταιρικά και κυβερνητικά δίκτυα.
Για παράδειγμα, η εταιρεία αποκάλυψε τον Φεβρουάριο ότι οι κινέζοι χάκερ της Volt Typhoon χρησιμοποίησαν δύο ελαττώματα του FortiOS SSL VPN (CVE-2022-42475 και CVE-2023-27997) για να αναπτύξουν το trojan απομακρυσμένης πρόσβασης Coathanger (RAT), ένα στέλεχος κακόβουλου λογισμικού που ήταν επίσης πρόσφατα χρησιμοποιήθηκε για την κερκόπορτα ενός στρατιωτικού δικτύου του ολλανδικού Υπουργείου Άμυνας.
Δείτε επίσης: Η Google πληρώνει έως και 450.000 $ για σφάλματα RCE
Πώς μπορούν οι επιχειρήσεις να προστατευτούν από ψηφιακές εκμεταλλεύσεις;
Οι επιχειρήσεις μπορούν να προστατευτούν από ψηφιακές εκμεταλλεύσεις, όπως στην περίπτωση του σφάλματος RCE της Fortinet, εφαρμόζοντας ισχυρά μέτρα ασφαλείας. Η χρήση ενημερωμένου λογισμικού και τακτικών αναβαθμίσεων είναι κρίσιμη για την αποτροπή εκμεταλλεύσεων που βασίζονται σε γνωστά κενά ασφαλείας. Η εκπαίδευση των εργαζομένων σε θέματα κυβερνοασφάλειας είναι επίσης ζωτικής σημασίας. Η χρήση πολυπαραγοντικής ταυτοποίησης (MFA) μπορεί να προσφέρει ένα επιπλέον επίπεδο προστασίας. Η τακτική διεξαγωγή ελέγχων ασφαλείας και δοκιμών διείσδυσης μπορεί να βοηθήσει στην ανίχνευση και διόρθωση αδυναμιών προτού αυτές εκμεταλλευτούν από κακόβουλους παράγοντες. Οι επιχειρήσεις πρέπει να επενδύουν σε επαγγελματίες ασφάλειας για να εντοπίζουν και να διορθώνουν πιθανά κενά.
Πηγή: bleepingcomputer
, για μια ευπάθεια μέγιστης σοβαρότητας RCE στη λύση SIEM της Fortinet.){kind=link}