Fortinet’in FortiSIEM ürünündeki kritik bir güvenlik açığına yönelik bir kavram kanıtlama istismarı (PoC) ortaya çıktı ve geniş çaplı istismarın önünü açtı.
altında takip edilen güvenlik açığı CVE-2024-23108, ilgili bir hata olan CVE-2024-23109 ile birlikte Şubat ayında açıklandı ve yamandı. Her ikisi de CVSS ölçeğinde maksimum önem puanı 10’dur ve tehdit aktörlerinin uzaktan kod yürütme (RCE) için hazırlanmış API isteklerini kullanmasına olanak verebilecek, kimliği doğrulanmamış komut ekleme kusurlarıdır.
Horizon3AI’deki araştırmacılara göre, faydalanmak“NodeZero” olarak adlandırdıkları, kullanıcıların “güvenlik açığı bulunan FortiSIEM cihazlarında kök olarak komutları körü körüne yürütmelerine” olanak tanıyor. PoC’lerinde bu istismarı bir yükleme yapmak için kullandılar. uzaktan erişim aracı sömürü sonrası faaliyetler için.
FortiSIEM, Fortinet’in kurumsal siber güvenlik operasyon merkezlerini etkinleştirmek için kullanılan güvenlik bilgileri ve olay yönetimi (SIEM) platformudur. Bu nedenle, bir uzlaşma, kurumsal ortamlara daha fazla saldırı başlatmak için önemli bir başlangıç noktası sunabilir.
Kusurlardan etkilenen FortiSIEM sürümleri arasında 7.1.0’dan 7.1.1’e kadar olan sürümler yer almaktadır; 7.0.0 ila 7.0.2; 6.7.0 ila 6.7.8; 6.6.0 ila 6.6.3; 6.5.0 ila 6.5.2; ve 6.4.0 ila 6.4.2. Kullanıcıların, uzlaşmayı önlemek için hemen yama yapması gerekir.