Comment se protéger de la faille critique de sécurité de FortiSIEM ?
Un exploit PoC a été publié pour une faille de sécurité critique présente dans la solution de SIEM de chez Fortinet, c’est-à-dire FortiSIEM : quels sont les risques ? Faisons le point dans cet article.
Vulnérabilité critique dans FortiSIEM : quels dangers ?
Découverte par Horizon3, cette faille de sécurité associée à la référence CVE-2024-23108 présente une sévérité maximale, avec un score CVSS de 10 sur 10. En exploitant cette faille, un attaquant non authentifié et à distance pourrait exécuter du code en tant que root sur le système via des requêtes spéciales à l’API de FortiSIEM.
La faille CVE-2024-23108 est en réalité liée à deux autres vulnérabilités : la CVE-2024-23109 et la CVE-2023-34992, corrigées respectivement en février 2024 et octobre 2023. Malgré le déni initial de Fortinet quant à ces nouvelles CVE, il s’agit bien de variantes plus récentes permettant l’exploitation de la vulnérabilité avec des requêtes différentes.
Un rapport technique complet ainsi qu’un exploit PoC publié sur GitHub par Horizon3 permet d’exécuter des commandes en tant que root sur les appliances FortiSIEM non patchées exposées à Internet. La disponibilité de cet exploit pourrait encourager les cybercriminels à exploiter cette faille.
Qui est affecté et comment se protéger ?
Différentes versions de FortiSIEM sont impactées par ces vulnérabilités :
Versions concernées :
- Versions comprises entre 7.1.0 et 7.1.1
- Versions comprises entre 7.0.0 et 7.0.2
- Versions comprises entre 6.7.0 et 6.7.8
- Versions comprises entre 6.6.0 et 6.6.3
- Versions comprises entre 6.5.0 et 6.5.2
- Versions comprises entre 6.4.0 et 6.4.2
Pour se protéger, il est recommandé de mettre à jour FortiSIEM vers la version 7.1.3, 7.0.3, 6.7.9 ou ultérieure. Des versions plus récentes sont disponibles, mais cela vous permet de connaître la version minimale à utiliser.
À noter qu’en mars dernier, Horizon3 avait déjà publié un exploit PoC pour une faille critique dans Fortinet EMS (Enterprise Management Server). Cette faille est désormais activement exploitée dans des attaques…
Source : www.it-connect.fr