Đã có mã khai thác cho lỗ hổng RCE đặc biệt nghiêm trọng của Fortinet

- Các nhà nghiên cứu bảo mật đã phát hành mã khai thác (PoC) cho một lỗ hổng có mức độ nghiêm trọng tối đa, đã được vá vào tháng 2, trong giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) của Fortinet.

Lỗ hổng có định danh CVE-2024-23108, là một lỗi command injection được phát hiện và báo cáo bởi nhà nghiên cứu Zach Hanley của Horizon3. Lỗ hổng cho phép thực thi lệnh từ xa với quyền root mà không yêu cầu xác thực.

Fortinet cho biết việc xử lý dữ liệu không đúng cách trong công cụ giám sát FortiSIEM có thể cho phép kẻ tấn công chưa được xác thực thực thi lệnh (command) trái phép thông qua các yêu cầu (request) độc hại.

CVE-2024-23108 ảnh hưởng đến các phiên bản FortiClient FortiSIEM từ 6.4.0 trở lên và đã được công ty vá vào ngày 8 tháng 2, cùng với lỗ hổng RCE thứ hai (CVE-2024-23109) có độ nghiêm trọng tối đa, điểm CVSS 10/10. Fortinet cho biết cả hai lỗ hổng đều là biến thể của CVE-2023-34992.

Vào thứ Ba, hơn ba tháng sau khi Fortinet phát hành các bản cập nhật bảo mật để vá lỗ hổng này, Horizon3 đã chia sẻ mã khai thác (PoC) và bản phân tích kỹ thuật chi tiết cho lỗ hổng.

Hanley cho biết: "Trong khi các bản vá cho vấn đề PSIRT ban đầu, FG-IR-23-130, đã bổ sung các kiểm tra xử lý đối với dữ liệu đầu vào do người dùng kiểm soát bằng cách thêm tiện ích wrapShellToken(), vẫn tồn tại lỗi command injection thứ hai tại một số tham số được truyền vào datastore.py".

"Việc khai thác CVE-2024-23108 sẽ để lại dữ liệu nhật ký (log) chứa một lệnh không thành công với ‘datastore.py nfs test’".

PoC của Horizon3 thử nghiệm việc thực thi các lệnh dưới quyền root trên mọi thiết bị FortiSIEM chưa được vá lỗi có kết nối Internet.

Horizon3 cũng đã phát hành một PoC cho lỗ hổng nghiêm trọng trong phần mềm FortiClient Enterprise Management Server (EMS) của Fortinet, hiện đang bị khai thác tích cực trong các cuộc tấn công.

Lỗ hổng Fortinet thường xuyên bị khai thác trong các cuộc tấn công ransomware và gián điệp mạng nhắm vào các mạng doanh nghiệp và chính phủ.

Do đó, các tổ chức cần thường xuyên kiểm tra và cập nhật bản vá cho phần mềm/ ứng dụng đang sử dụng ngay khi chúng có sẵn hoặc áp dụng các biện pháp thay thế theo khuyến nghị từ nhà cung cấp để giảm thiểu các rủi ro tiềm ẩn.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)