Des chercheurs en sécurité ont publié un exploit de validation de principe (PoC) pour une vulnérabilité de gravité maximale dans la solution SIEM (security information and event management) de Fortinet, qui a été corrigée en février.
Répertoriée sous le numéro CVE-2024-23108, cette faille de sécurité est une vulnérabilité d’injection de commandes découverte et signalée par l’expert en vulnérabilités Horizon3 Zach Hanley qui permet l’exécution de commandes à distance en tant que root sans nécessiter d’authentification.
« La neutralisation incorrecte multiple d’éléments spéciaux utilisés dans une vulnérabilité de commande de système d’exploitation [CWE-78] dans FortiSIEM supervisor peut permettre à un attaquant distant non authentifié d’exécuter des commandes non autorisées via des requêtes API contrefaites », explique Fortinet.
CVE-2024-23108 impacte FortiClient FortiSIEM versions 6.4.0 et supérieures et a été corrigé par la société le 8 février, ainsi qu’une deuxième vulnérabilité RCE (CVE-2024-23109) avec un score de gravité de 10/10.
Après avoir d’abord nié que les deux CVE étaient réels et affirmé qu’ils étaient en fait des doublons d’une faille similaire (CVE-2023-34992) corrigée en octobre, Fortinet a également déclaré que la divulgation des CVE était « une erreur au niveau du système » car ils ont été générés par erreur en raison d’un problème d’API.
Cependant, la société a finalement confirmé qu’il s’agissait des deux variantes CVE-2023-34992 avec la même description que la vulnérabilité d’origine.
Mardi, plus de trois mois après la publication des mises à jour de sécurité de Fortinet pour corriger cette faille de sécurité, l’équipe d’attaque d’Horizon3 a partagé un exploit de preuve de concept (PoC) et publié une analyse technique approfondie.
« Alors que les correctifs du problème PSIRT d’origine, FG-IR-23-130, tentaient d’échapper aux entrées contrôlées par l’utilisateur au niveau de cette couche en ajoutant l’utilitaire wrapShellToken (), il existe une injection de commande de second ordre lorsque certains paramètres à datastore.py sont envoyés », a déclaré Hanley.
« Les tentatives d’exploitation de CVE-2024-23108 laisseront un message de journal contenant une commande ayant échoué avec datastore.py essai de nfs. »
L’exploit PoC publié aujourd’hui par Horizon3 permet d’exécuter des commandes en tant que root sur toutes les appliances FortiSIEM exposées à Internet et non corrigées.
L’équipe d’attaque d’Horizon3 a également publié un exploit PoC pour une faille critique du logiciel FortiClient Enterprise Management Server (EMS) de Fortinet, qui est désormais activement exploitée dans les attaques.
Les vulnérabilités de Fortinet sont fréquemment exploitées-souvent en tant que zero-days – dans des attaques de ransomware et de cyberespionnage ciblant les réseaux d’entreprise et gouvernementaux.
Par exemple, la société a révélé en février que les pirates informatiques chinois Volt Typhoon utilisaient deux failles VPN SSL FortiOS (CVE-2022-42475 et CVE-2023-27997) pour déployer le cheval de Troie d’accès à distance Coathanger (RAT), une souche de malware qui a également été récemment utilisée pour pirater un réseau militaire du ministère néerlandais de la Défense.