针对 Fortinet FortiSIEM 中一个严重的未经身份验证的远程代码执行漏洞(CVE-2023-34992)的概念验证 (PoC) 漏洞已发布。
该漏洞的 CVSS 评分为 10.0,是由 Horizon3.ai 的研究人员在 2023 年初对 Fortinet 设备进行审计时发现的。
Fortinet FortiSIEM 是一种全面的安全信息和事件管理 (SIEM)解决方案,提供日志收集、关联、自动响应和补救功能。
RCE 漏洞和 PoC
在对 Fortinet 设备进行审计时发现了一个严重漏洞,该漏洞揭示了多个问题,最终导致了这一重大缺陷的发现。
通过分析反编译的 Java 代码,研究人员发现该 doPost 方法对 LicenseUploadServlet 用户输入的过滤不够充分,允许攻击者通过“Name”参数注入任意命令
FortiSIEM 的后端 Web 服务通过 Java 框架 Glassfish 部署。漏洞存在于 LicenseUploadServlet.classWeb 服务中。
发现该 servlet 的方法doPost容易受到命令注入攻击,从而允许未经身份验证的攻击者利用该系统。
PoC 演示了攻击者如何利用此漏洞来实现未经身份验证的远程代码执行。
通过利用LicenseUploadServlet,攻击者可以上传在 root 用户上下文中执行命令的恶意负载。
此访问权限可用于读取集成系统中的机密,从而实现网络内的进一步横向移动。完整的 PoC 可在GitHub上找到。
成功利用 CVE-2023-34992 可让攻击者:
以root用户身份执行任意命令。
从集成系统中读取敏感信息和秘密。
转向网络内的其他系统,可能会导致大范围的危害。
减轻
Fortinet 已在近期更新中修复了此漏洞。任何从 6.4.0 到 7.1.1 的 FortiSIEM 版本均存在风险。Fortinet 已针对 7.0.3、7.1.3 和 6.7.9 版本发布了补丁,建议升级到这些版本或更高版本。
此外,预计版本 7.2.0、6.6.5、6.5.3 和 6.4.4 的补丁将很快发布。
强烈建议用户应用最新补丁以降低风险。此外,建议遵循保护 SIEM 部署的最佳实践,例如限制对管理界面的访问和定期审核系统配置。
/opt/phoenix/logs/phoenix.logs使用 FortiSIEM 的组织应该检查其日志中是否存在任何异常活动,尤其是可能保存 phMonitor 服务收到的消息内容的文件中。
使用 Fortinet FortiSIEM 的组织应优先更新其系统,以防止可能利用此严重漏洞。
文章原文链接:https://www.anquanke.com/post/id/296781
