Sicherheitsforscher haben einen Proof-of-Concept (PoC) Exploit für eine hochkritische Sicherheitslücke in Fortinets Lösung für Sicherheitsinformationen und Ereignismanagement (SIEM) veröffentlicht, die bereits im Februar gepatcht wurde. Die Schwachstelle, bekannt unter der Kennung CVE-2024-23108, ermöglicht die Fernausführung von Befehlen mit Root-Rechten, ohne dass eine Authentifizierung erforderlich ist.
Details zur Schwachstelle
Die Sicherheitslücke, eine Befehlsinjektionsanfälligkeit, wurde von Zach Hanley, einem Experten für Sicherheitslücken bei Horizon3, entdeckt und gemeldet. „Mehrere unzureichende Neutralisierungen spezieller Elemente, die in einem OS-Befehl verwendet werden [CWE-78] im FortiSIEM Supervisor, könnten es einem entfernten, nicht authentifizierten Angreifer ermöglichen, unbefugte Befehle über manipulierte API-Anfragen auszuführen“, erklärt Fortinet.
CVE-2024-23108 betrifft FortiClient FortiSIEM-Versionen 6.4.0 und höher und wurde am 8. Februar zusammen mit einer zweiten RCE-Sicherheitslücke (CVE-2024-23109) mit einem Schweregrad von 10/10 gepatcht.
Verwirrung und Bestätigung durch Fortinet
Anfänglich leugnete Fortinet, dass die beiden CVEs echt seien und behauptete, es handele sich um Duplikate eines ähnlichen, bereits im Oktober behobenen Fehlers (CVE-2023-34992). Später räumte das Unternehmen jedoch ein, dass es sich um Varianten von CVE-2023-34992 mit derselben Beschreibung wie die ursprüngliche Sicherheitslücke handelte.
Freigabe des PoC-Exploits
Über drei Monate nachdem Fortinet Sicherheitsupdates zur Behebung dieser Sicherheitslücke veröffentlicht hatte, teilte das Attack Team von Horizon3 einen PoC-Exploit und veröffentlichte eine technische Detailanalyse. „Obwohl die Patches für das ursprüngliche PSIRT-Problem, FG-IR-23-130, versuchten, benutzerkontrollierte Eingaben auf dieser Ebene zu escapen, indem sie das Utility wrapShellToken() hinzufügten, besteht eine sekundäre Befehlsinjektion, wenn bestimmte Parameter an datastore.py gesendet werden“, sagte Hanley.
Empfehlungen zur Absicherung
Der heute von Horizon3 veröffentlichte PoC-Exploit ermöglicht es, Befehle als Root auf jedem im Internet freigelegten und ungepatchten FortiSIEM-Gerät auszuführen. Horizon3’s Attack Team veröffentlichte auch einen PoC-Exploit für eine kritische Sicherheitslücke in Fortinets FortiClient Enterprise Management Server (EMS) Software, die derzeit aktiv in Angriffen ausgenutzt wird.
Fortinet-Sicherheitslücken werden häufig – oft als Zero-Day – in Ransomware- und Cyber-Spionage-Angriffen ausgenutzt, die auf Unternehmens- und Regierungsnetzwerke abzielen. Beispielsweise offenbarte das Unternehmen im Februar, dass chinesische Volt Typhoon-Hacker zwei FortiOS SSL VPN-Fehler (CVE-2022-42475 und CVE-2023-27997) nutzten, um den Coathanger Remote Access Trojan (RAT) einzusetzen, einen Malware-Stamm, der kürzlich auch verwendet wurde, um ein Militärnetzwerk des niederländischen Verteidigungsministeriums zu infiltrieren.