Unauthenticated RCE Flaw in Fortinet FortiSIEM: Researchers Publishes PoC for CVE-2023-34992
2024/05/21 SecurityOnline — FortiSIEM は SIEM (Security Information and Event Management) ソリューションであり、ログの収集/相関付け/自動応答/修復を提供するものだ。また FortiSIEMは、スタンドアロン/エンタープライズ・アプライアンスから、MSP (Managed Service Providers) 向けのスケールアウト・ソリューションにいたるまでの、さまざまなレベルをサポートしている。
先日に発見された欠陥により、攻撃者は事前の認証を必要とすることなく、リモートから root ユーザーとして任意のコードを実行できるようになる。その結果として攻撃者は、FortiSIEM アプライアンスを完全に制御し、SIEM 内に保存された機密データを悪用することで、接続されている他のシステムに侵入する可能性も手にする。
root としてのリバースシェル
Horizon3.ai の分析により、さまざまな管理機能を処理する phMonitor サービスに、脆弱性が存在することが明らかになった。このサービスは、リモートの攻撃者に呼び出されてしまう、認証を必要としないコマンド・ハンドラのセットを公開している。そして、それらのハンドラの1つは、ストレージ・リクエストを処理するように設計されており、ユーザーから提供される入力を適切にサニタイズしていないため、OS コマンド・インジェクションの脆弱性につながる。
この脆弱性の悪用は、細工された XML ペイロードの送信により開始され、リモート・コード実行へといたる可能性がある。Horizon 3 AI Inc. は、同社の GitHub リポジトリにおいて、脆弱性 CVE-2023-34992 に対する PoC エクスプロイトを提供している。
FortiSIEM を利用している組織に推奨されるのは、ログにおける不審なアクティビティの確認であり、特に “/opt/phoenix/logs/phoenix.logs” ファイル内に、phMonitor サービスで受信したメッセージが含まれていないことをチェックすることである。
FortiSIEM バージョン 6.4.0〜7.1.1 に、この脆弱性は存在する。すでに Fortinet は、バージョン 7.1.3/7.0.3/6.7.9 に対してパッチをリリースしているため、早急なアップグレードを検討すべきである。さらに、バージョン 7.2.0/6.6.5/6.5.3/6.4.4 用のパッチも、近日中にリリースされる予定とのことだ。
この FortiSIEM の脆弱性 CVE-2023-34992 ですが、お隣のキュレーション・チームに聞いてみたら、CVSS 値は 9.8 とのことでした。そして、文中にもあるように、Horizon3 から PoC も提供されています。まだ、パッチが未適用のバージョンもあるようですが、適用されているバージョンに関しては、早めにアップデートを行ってください。よろしければ、FortiSIEM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.