Fortinet: Publican Exploit para Vulnerabilidad Crítica

Recientemente, investigadores de seguridad han publicado un exploit de prueba de concepto (PoC) para una vulnerabilidad de máxima severidad en la solución de gestión de eventos e información de seguridad (SIEM) de Fortinet, que fue parcheada en febrero.

 

Identificada como CVE-2024-23108, esta falla es una vulnerabilidad de inyección de comandos descubierta y reportada por Zach Hanley, experto en vulnerabilidades de Horizon3. Esta vulnerabilidad permite la ejecución remota de comandos como root sin necesidad de autenticación.

 

“Varias neutralizaciones incorrectas de elementos especiales utilizados en un comando del sistema operativo [CWE-78] en el supervisor de FortiSIEM pueden permitir a un atacante remoto no autenticado ejecutar comandos no autorizados a través de solicitudes API manipuladas,” afirmó Fortinet.

 

Esta vulnerabilidad afecta a las versiones 6.4.0 y superiores de FortiSIEM y fue corregida por la empresa el 8 de febrero, junto con una segunda vulnerabilidad de ejecución remota de comandos (CVE-2024-23109) con una calificación de gravedad de 10/10.

 

Inicialmente, Fortinet negó la existencia de estos CVE, alegando que eran duplicados de una falla similar (CVE-2023-34992) corregida en octubre. Sin embargo, la compañía posteriormente confirmó que ambos eran variantes del CVE-2023-34992, con la misma descripción que la vulnerabilidad original.

 

El martes, más de tres meses después de que Fortinet lanzara las actualizaciones de seguridad para corregir esta falla, el equipo de ataque de Horizon3 compartió un exploit de prueba de concepto y publicó un análisis técnico detallado.

 

“Si bien los parches para el problema original de PSIRT, FG-IR-23-130, intentaron escapar de las entradas controladas por el usuario en esta capa mediante la adición de la utilidad wrapShellToken(), existe una segunda inyección de comando cuando se envían ciertos parámetros a datastore.py,” explicó Hanley.

 

“Los intentos de explotar CVE-2024-23108 dejarán un mensaje de registro que contiene un comando fallido con datastore.py nfs test.”

 

El exploit PoC publicado por Horizon3 permite ejecutar comandos como root en cualquier dispositivo FortiSIEM expuesto a Internet y no parcheado.

 

El equipo de ataque de Horizon3 también lanzó un exploit de prueba de concepto para una vulnerabilidad crítica en el software FortiClient Enterprise Management Server (EMS) de Fortinet, que ahora está siendo explotada activamente en ataques.

 

Las vulnerabilidades en productos de Fortinet son frecuentemente explotadas, a menudo como zero-days, en ataques de ransomware y espionaje cibernético que apuntan a redes corporativas y gubernamentales.

 

Por ejemplo, en febrero, la compañía reveló que hackers chinos del grupo Volt Typhoon utilizaron dos fallas en FortiOS SSL VPN (CVE-2022-42475 y CVE-2023-27997) para desplegar el troyano de acceso remoto Coathanger (RAT), una cepa de malware que también se utilizó recientemente para infiltrar una red militar del Ministerio de Defensa de los Países Bajos.

Recomendaciones:
  • Actualización Inmediata: Es crucial que todas las organizaciones que utilizan FortiSIEM actualicen a la última versión disponible para mitigar esta vulnerabilidad.
  • Monitoreo Continuo: Implementar monitoreo continuo de seguridad para detectar intentos de explotación.
  • Revisar Configuraciones: Asegurarse de que las configuraciones de seguridad sigan las mejores prácticas y que los sistemas estén debidamente segmentados y protegidos.
Related Posts
Clear Filters

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad de alta severidad en…

ASUS ha lanzado una actualización de firmware crucial para solucionar una vulnerabilidad que afecta a siete modelos de routers, permitiendo…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.