Fortinet ha segnalato il bypass di due nuove patch “no-patch” per una vulnerabilità critica legata all’esecuzione remota di codice in FortiSIEM, la soluzione SIEM di Fortinet.
Fortinet ha incluso le due nuove vulnerabilità, identificate come CVE-2024-23108 e CVE-2024-23109, nell’avviso originale riguardante il difetto CVE-2023-34992, in un aggiornamento che ha generato un bel po’ di confusione.
In realtà i CVE sarebbero stati rilasciati per errore dopo che Fortinet aveva indicato che erano duplicati dell’originale CVE-2023-34992.
“Questa situazione è dovuta a un problema con l’API che stiamo attualmente investigando; ciò ha portato alla creazione di due nuovi CVE, duplicati dell’originale CVE-2023-34992, anziché a una modifica,” ha dichiarato Fortinet. “Finora nel 2024 non sono state identificate nuove vulnerabilità per FortiSIEM; questo è un errore di sistema e stiamo lavorando per correggere e ritirare le voci errate.”
Tuttavia, è emerso che CVE-2024-23108 e CVE-2024-23109 sono in realtà bypass delle patch per il difetto CVE-2023-34992 scoperto da Zach Hanley, esperto di vulnerabilità di Horizon3.
Dopo una nuova comunicazione Fortinet ha detto che la precedente dichiarazione era “errata” e che i due nuovi CVE sono varianti del difetto originale.
“Il team PSIRT ha seguito il processo per aggiungere due varianti simili del precedente CVE (CVE-2023-34992), identificate come CVE-2024-23108 e CVE-2024-23109, al nostro avviso pubblico FG-IR-23-130, pubblicato nell’ottobre 2023. I due nuovi CVE condividono esattamente la stessa descrizione e lo stesso punteggio del CVE originale; contemporaneamente, abbiamo aggiornato MITRE. Un promemoria che indica l’Avviso aggiornato sarà incluso per i nostri clienti martedì, quando Fortinet pubblicherà il suo avviso mensile,” ha dichiarato Fortinet.
La descrizione delle due nuove varianti è identica a quella del difetto originale: la vulnerabilità consente agli aggressori non autenticati di eseguire comandi tramite richieste API appositamente predisposte.
“La neutralizzazione impropria di più elementi speciali utilizzati in una vulnerabilità del comando OS [CWE-78] nel supervisore FortiSIEM può consentire a un utente malintenzionato remoto non autenticato di eseguire comandi non autorizzati tramite richieste API predisposte,” si legge nell’avviso.
Mentre il difetto originale, CVE-2023-34992, è stato corretto in una versione precedente di FortiSIEM, le nuove varianti verranno corrette o sono già state corrette nelle seguenti versioni:
- FortiSIEM versione 7.1.2 o successiva
- Prossima versione FortiSIEM 7.2.0 o successiva
- Prossima versione FortiSIEM 7.0.3 o successiva
- Prossima versione FortiSIEM 6.7.9 o successiva
- Prossima versione FortiSIEM 6.6.5 o successiva
- Prossima versione FortiSIEM 6.5.3 o successiva
- Prossima versione FortiSIEM 6.4.4 o successiva
Data la gravità del difetto, si consiglia vivamente di aggiornare a una delle versioni di FortiSIEM sopra indicate non appena disponibili.
Le vulnerabilità di Fortinet sono spesso sfruttate dagli hacker, inclusi i gruppi di ransomware, per ottenere l’accesso iniziale alle reti aziendali, quindi è fondamentale applicare rapidamente le patch.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!
