Fortinet alerta sobre novos erros de RCE do FortiSIEM em divulgação confusa
8 de Fevereiro de 2024

A Fortinet está alertando sobre duas novas falhas não corrigidas para uma vulnerabilidade crítica de execução remota de código no FortiSIEM, a solução SIEM da Fortinet.

A Fortinet adicionou duas novas vulnerabilidades rastreadas como CVE-2024-23108 e CVE-2024-23109 ao aviso original para a falha CVE-2023-34992 em uma atualização muito confusa.

Hoje mais cedo, o BleepingComputer publicou um artigo que os CVEs foram lançados por engano após terem sido informados pela Fortinet de que eram duplicados do CVE original 2023-34992.

"Neste caso, devido a um problema com a API que estamos atualmente investigando, em vez de uma edição, isto resultou em dois novos CVEs sendo criados, duplicados do CVE original 2023-34992," disse a Fortinet ao BleepingComputer.

"Não há nova vulnerabilidade publicada para o FortiSIEM até agora em 2024, este é um erro de nível de sistema e estamos trabalhando para corrigir e retirar as entradas errôneas."

No entanto, verifica-se que o CVE-2024-23108 e o CVE-2024-23109 são, na verdade, falhas de correção para a falha CVE-2023-34992 descoberta pelo especialista em vulnerabilidades da Horizon3, Zach Hanley.

No X, Zach afirmou que os novos CVEs são falhas de correção para o CVE-2023-34992 , e as novas IDs foram atribuídas a ele pela Fortinet.

Depois de contatar a Fortinet novamente, nos foi dito que a declaração anterior estava “mal formulada” e que os dois novos CVEs são variantes da falha original.

"A equipe PSIRT seguiu seu processo para adicionar duas variantes semelhantes do CVE anterior ( CVE-2023-34992 ), rastreadas como CVE-2024-23108 e CVE-2024-23109 ao nosso aviso público FG-IR-23-130, que foi publicado em outubro de 2023.

Os dois novos CVEs compartilham a mesma descrição e pontuação que o inicial; paralelamente, atualizamos o MITRE.

Um lembrete apontando para o Aviso atualizado será incluído para nossos clientes na terça-feira quando a Fortinet publicar seu aviso mensal." - Fortinet.

Estas duas novas variantes têm a mesma descrição que a falha original, permitindo que invasores não autenticados executem comandos via API criadas de forma especial.

"Neutralização inadequada de múltiplos elementos especiais usados em uma vulnerabilidade de comando do sistema operacional [CWE-78] no supervisor FortiSIEM pode permitir que um invasor remoto não autenticado execute comandos não autorizados via solicitações de API criadas," lê-se no aviso.

Enquanto a falha original, CVE-2023-34992 , foi corrigida em um lançamento anterior do FortiSIEM, as novas variantes serão corrigidas ou já foram corrigidas nas seguintes versões:

Versão FortiSIEM 7.1.2 ou superior
Versão FortiSIEM 7.2.0 ou superior em breve
Versão FortiSIEM 7.0.3 ou superior em breve
Versão FortiSIEM 6.7.9 ou superior em breve
Versão FortiSIEM 6.6.5 ou superior em breve
Versão FortiSIEM 6.5.3 ou superior em breve
Versão FortiSIEM 6.4.4 ou superior em breve

Como essa é uma falha crítica, é fortemente recomendado que você atualize para uma das versões do FortiSIEM acima assim que elas estiverem disponíveis.

As falhas da Fortinet são comumente alvo de atores de ameaças, incluindo gangs de ransomware, que as usam para obter acesso inicial às redes corporativas, portanto, a correção rápida é crucial.

O BleepingComputer perguntou à Fortinet quando as outras versões serão lançadas e atualizará esta história quando recebermos uma resposta.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...