Fortinet SIEM の RCE 脆弱性 CVE-2024-23108/23109:PoC エクスプロイトが提供

Exploit released for maximum severity Fortinet RCE bug, patch now

2024/05/28 BleepingComputer — 2024年2月にパッチが適用された、Fortinet SIEM (security information and event management) ソリューションの深刻な脆弱性に関する、PoC (proof-of-concept) エクスプロイト・コードが、セキュリティ研究者たちから公開された。この脆弱性 CVE-2024-23108 は、Horizon3 の脆弱性の専門家 Zach Hanley により発見/報告されたコマンド・インジェクションの脆弱性であり、悪用に成功した攻撃者に対して、認証を必要としないリモート・コマンド実行を、 root として許すものである。


Fortinet は、「FortiSIEM Supervisor の OS コマンドの脆弱性 [CWE-78] により、特殊要素の複数の不適切な無効化が生じることで、リモートの未認証の攻撃者は、細工した API リクエストを経由して、認証されていないコマンドを実行する可能性を手にする」と述べている。

脆弱性 CVE-2024-23108 は、FortiClient FortiSIEM バージョン 6.4.0 以降に影響するものである。さらに Fortinet は、もう1つの RCE 脆弱性 CVE-2024-23109 (CVSS:10.0) にも、2月8日の時点でパッチを適用している。

Fortinet は当初、これらの2つの CVE の存在を否定し、実際には 2023年10月に修正した脆弱性 CVE-2023-34992 の重複であると主張し、CVE の公開は API の問題により誤って生成されたものであり、システム・レベルのエラーであるとも述べていた。

しかし、最終的に同社は、これらの脆弱性は、いずれも CVE-2023-34992 の亜種であり、元の脆弱性と同じ内容であることを認めた。

https://infosec.exchange/@wdormann/112518949191818024/embed

これらの脆弱性にパッチを適用するセキュリティ・アップデートを、Fortinet がリリースしてから3カ月以上が経過した。そして、5月28日に、Horizon3 の Attack Team は PoC エクスプロイト・コードと技術的詳細を公開した。

Hanley は、「オリジナルの PSIRT 問題 (FG-IR-23-130) に対するパッチは、wrapShellToken() ユーティリティを追加することで、このレイヤーでのユーザー制御入力をエスケープしようとしていた。しかし、”datastore.py” 対して特定のパラメータが送信される場合において、2次コマンド・インジェクションが存在する。CVE-2024-23108 を悪用しようとすると、”datastore.py” の “nfs” テストで失敗したコマンドを含む、ログメッセージが残る」と説明している。

5月28日に Horizon3 が公開した PoC エクスプロイトを使用すれば、インターネット上のパッチが未適用の FortiSIEM アプライアンスにおいて、 root としてのコマンド実行が可能になる。

さらに Horizon3 の攻撃チームは、近ごろの攻撃で積極的に悪用されている、Fortinet の FortiClient Enterprise Management Server (EMS) ソフトウェアの深刻な脆弱性 CVE-2023-48788 に対する、PoC エクスプロイトもリリースしている。

Fortinet の脆弱性は、企業や政府機関のネットワークを標的としたランサムウェアやサイバースパイ攻撃において、ゼロデイとして悪用され続けてきた。

その一例として、同社が2月に公表したのは、FortiOS SSL VPN の2つの脆弱性 CVE-2022-42475/CVE-2023-27997 を悪用する、中国の Volt Typhoon ハッカーが、Coathanger リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) を展開したことだ。

Horizon3 が、3件の PoC エクスプロイトを提供しています。ご利用のチームは、ご確認ください。なお、Fortnet の脆弱性 CVE-2024-23108/CVE-2024-23109 に関しては、2024/02/05 の「Fortinet FortiSIEM の脆弱性 CVE-2024-23108/CVE-2024-23109 が FIX:直ちにパッチを!」を、また、CVE-2023-48788 に関しては、2024/04/17 の「Fortinet の脆弱性 CVE-2023-48788 を悪用するキャンペーン:Metasploit Powerfun ペイロードなどを配信」を、ご参照ください。