Security Affairsは5月28日(現地時間)、「Experts released PoC exploit code for RCE in Fortinet SIEM」において、FortinetのSIEM(Security Information and Event Management)製品「FortiSIEM」について、今年2月に発見されたリモートコード実行(RCE: Remote Code Execution)の脆弱性に対する概念実証(PoC: Proof of Concept)コードが公開されたと報じた。この概念実証コードを使用されると、認証されていない第三者に遠隔から管理者権限で任意のコマンドを実行される可能性がある。

  • Experts released PoC exploit code for RCE in Fortinet SIEM

    Experts released PoC exploit code for RCE in Fortinet SIEM

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-23108 - OSコマンドインジェクションの脆弱性。攻撃者は細工したAPI(Application Programming Interface)リクエストを介して不正なコードまたはコマンドを実行する可能性がある

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • FortiSIEM version 7.1.0から7.1.1まで
  • FortiSIEM version 7.0.0から7.0.2まで
  • FortiSIEM version 6.7.0から6.7.8まで
  • FortiSIEM version 6.6.0から6.6.3まで
  • FortiSIEM version 6.5.0から6.5.2まで
  • FortiSIEM version 6.4.0から6.4.2まで

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • FortiSIEM version 7.2.0またはこれ以降のバージョン
  • FortiSIEM version 7.1.3またはこれ以降のバージョン
  • FortiSIEM version 7.0.3またはこれ以降のバージョン
  • FortiSIEM version 6.7.9またはこれ以降のバージョン
  • FortiSIEM version 6.6.5またはこれ以降のバージョン
  • FortiSIEM version 6.5.3またはこれ以降のバージョン
  • FortiSIEM version 6.4.4またはこれ以降のバージョン

対策

概念実証コードは「GitHub - horizon3ai/CVE-2024-23108: CVE-2024-23108: Fortinet FortiSIEM Unauthenticated 2nd Order Command Injection」にて公開された。このコードはコマンドとして完成しており、誰でも容易に攻撃を試行することができる。

なお、この概念実証コードを使用すると、phMonitorサービスのログ(/opt/phoenix/logs/phoenix.log)に「datastore.py nfs test」で失敗したことを示すログエントリーが生成されるという。ログが削除または改ざんされていない場合、管理者はこのエントリーを調査することで攻撃の有無を確認可能。

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。脆弱性が存在する製品を運用している管理者には、影響を確認して速やかにアップデートすることが推奨されている。