Fortinet SIEM中的RCE漏洞的POC利用代码

Horizon3的攻击团队的安全研究人员发布了一种用于Fortinet SIEM中远程代码执行漏洞（CVE-2024-23108）的POC利用代码。该POC利用允许在面向互联网的FortiSIEM设备上以root权限执行命令。今年二月，网络安全厂商Fortinet警告称FortiSIEM存在两个严重漏洞（CVE-2024-23108和CVE-2024-23109，CVSS评分为10），可能导致远程代码执行。

Fortinet发布的公告指出：“FortiSIEM监控程序中的多个操作系统命令输入不当漏洞[CWE-78]可能允许远程未经认证的攻击者通过精心构造的API请求执行未经授权的命令。” 受影响的产品包括：

• FortiSIEM 7.1.0至7.1.1版本 

• FortiSIEM 7.0.0至7.0.2版本 

• FortiSIEM 6.7.0至6.7.8版本 

• FortiSIEM 6.6.0至6.6.3版本 

• FortiSIEM 6.5.0至6.5.2版本 

• FortiSIEM 6.4.0至6.4.2版本 

CERT-EU也针对上述漏洞发布了一份公告：“2024年二月，Fortinet悄悄更新了2023年的一项公告，将两个关键漏洞加入了OS命令漏洞列表，这些漏洞影响了其FortiSIEM产品。如果被利用，这些漏洞可能允许远程未经认证的攻击者在系统上执行命令。” CERT-EU发布的公告指出：“建议尽快进行更新。” 本周，Horizon3的攻击团队还发布了对该漏洞的技术分析。

分析中指出：“尽管原始PSIRT问题（FG-IR-23-130）的补丁试图通过添加wrapShellToken()实用程序来转义用户可控输入，但当某些参数发送到datastore.py时，存在第二次命令注入。” 研究人员注意到，位于/opt/phoenix/logs/phoenix.log的phMonitor服务的日志提供了接收消息的详细记录。任何对CVE-2024-23108的利用尝试都将生成日志条目，指示执行“datastore.py nfs test”命令失败。这些行应用作为妥协指标来检测利用尝试。

原文始发于微信公众号（黑猫安全）：专家发布了Fortinet SIEM中的RCE漏洞的POC利用代码