Una falla en la inyección de comandos OS, con exploits ya disponibles públicamente, permite a atacantes tomar el control total del sistema SIEM sin necesidad de autenticación.
Los guardianes de la seguridad están bajo ataque. Fortinet ha emitido una advertencia urgente sobre una vulnerabilidad crítica que afecta a FortiSIEM, su solución de gestión de eventos e información de seguridad utilizada por grandes empresas y proveedores de servicios gestionados (MSPs).
El fallo, rastreado como CVE-2024-23108 (y su variante relacionada CVE-2024-23109), ha recibido una puntuación perfecta de 10/10 en gravedad por parte de algunos analistas (y 9.8 en CVSSv3 oficial), lo que significa que es fácil de explotar y tiene un impacto catastrófico.
El Detalle Técnico: Inyección de Comandos
La vulnerabilidad reside en una validación incorrecta de las entradas del usuario en la API del sistema.
- El Fallo: Específicamente, se trata de una inyección de comandos de “segundo orden”. Los atacantes pueden enviar solicitudes API maliciosas que manipulan parámetros específicos (como mount_point en scripts datastore.py).
- El Impacto: Un atacante remoto y no autenticado puede ejecutar comandos arbitrarios con privilegios de root en el dispositivo FortiSIEM.
- Exploit Público: Investigadores de Horizon3.ai han publicado una prueba de concepto (PoC) y una herramienta llamada “NodeZero” que demuestra cómo explotar esta falla para obtener acceso root y cargar herramientas de administración remota.
Una Historia de Parches Fallidos
Este incidente es particularmente preocupante porque estas vulnerabilidades son, en realidad, derivaciones de un intento de parche anterior incompleto (CVE-2023-34992). Los atacantes encontraron formas de eludir las correcciones originales, lo que obligó a Fortinet a reconocer estos nuevos vectores de ataque meses después.
Versiones Afectadas
El alcance de la vulnerabilidad es amplio, afectando a múltiples ramas de versiones de FortiSIEM:
- Versiones 7.1.0 a 7.1.1
- Versiones 7.0.0 a 7.0.2
- Versiones 6.7.0 a 6.7.8
- Versiones 6.6.0 a 6.6.3
- Versiones 6.5.0 a 6.5.2
- Versiones 6.4.0 a 6.4.2
Solución y Mitigación
Fortinet ha lanzado parches para cerrar estas brechas definitivamente. Los administradores deben actualizar a las siguientes versiones (o superiores) de inmediato:
- 7.1.2, 7.0.3, 6.7.9, 6.6.5, 6.5.3, 6.4.4
¿Qué hacer si no puedes actualizar hoy? Aunque no es una solución definitiva, Fortinet sugiere como medida paliativa restringir el acceso al puerto 7900 (usado por el servicio phMonitor), desde donde se originan muchos de estos ataques, limitando su exposición solo a direcciones IP de confianza.
