Lanzamiento del código de explotación PoC para vulnerabilidad en Fortinet SIEM | DKCERT
Los investigadores de seguridad han publicado una prueba de concepto (PoC) para una vulnerabilidad de ejecución remota de código que existe en la solución de gestión de eventos e información de seguridad (SIEM) de Fortinet. El exploit PoC permite ejecutar comandos como root en dispositivos FortiSIEM con acceso a Internet.
Eso es lo que escriben Security Affairs y Bleeping Computer.
La vulnerabilidad tiene el ID CVE-2024-23108 y una puntuación CVSS de 9,7. Fue parcheado en febrero, y durante ese tiempo los investigadores, entre otros, gastado en desarrollar una prueba de concepto. Además, en febrero se corrigió otra vulnerabilidad CVE-2024-23109 (puntuación CVSS 10), pero no parece que deba ser objeto de la misma prueba de concepto o de otra diferente.
Los productos afectados son los siguientes:
- FortiSIEM versión 7.1.0 a 7.1.1
- FortiSIEM versión 7.0.0 a 7.0.2
- FortiSIEM versión 6.7.0 a 6.7.8
- FortiSIEM versión 6.6.0 a 6.6.3
- FortiSIEM versión 6.5.0 a 6.5.2
- FortiSIEM versión 6.4.0 a 6.4.2
No se ha informado de una explotación activa real, pero se puede esperar que se lancen intentos de explotación.
Se recomienda actualizar según las instrucciones del fabricante.
Enlaces:
https://www.bleepingcomputer.com/news/security/exploit-released-for-maximum-severity-fortinet-rce-bug-patch-now/
https://securityaffairs.com/163797/hacking/fortinet-siem-critical-rce-poc.html
https://www.fortiguard.com/psirt/FG-IR-23-130