FortiSIEMの緊急脆弱性のPoCが公開、ただちに更新を
Security Affairsは5月28日(現地時間)、「Experts released PoC exploit code for RCE in Fortinet SIEM」において、FortinetのSIEM(Security Information and Event Management)製品「FortiSIEM」について、今年2月に発見されたリモートコード実行(RCE: Remote Code Execution)の脆弱性に対する概念実証(PoC: Proof of Concept)コードが公開されたと報じた。この概念実証コードを使用されると、認証されていない第三者に遠隔から管理者権限で任意のコマンドを実行される可能性がある。
![](https://image.news.livedoor.com/newsimage/stf/9/a/9a8c5_1223_fdc1f6f5fe96a107fda28964b8cc6f03.jpg)
Experts released PoC exploit code for RCE in Fortinet SIEM
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
PSIRT | FortiGuard Labs
脆弱性の情報(CVE)は次のとおり。
CVE-2024-23108 - OSコマンドインジェクションの脆弱性。攻撃者は細工したAPI(Application Programming Interface)リクエストを介して不正なコードまたはコマンドを実行する可能性がある
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
FortiSIEM version 7.1.0から7.1.1まで
FortiSIEM version 7.0.0から7.0.2まで
FortiSIEM version 6.7.0から6.7.8まで
FortiSIEM version 6.6.0から6.6.3まで
FortiSIEM version 6.5.0から6.5.2まで
FortiSIEM version 6.4.0から6.4.2まで
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
FortiSIEM version 7.2.0またはこれ以降のバージョン
FortiSIEM version 7.1.3またはこれ以降のバージョン
FortiSIEM version 7.0.3またはこれ以降のバージョン
FortiSIEM version 6.7.9またはこれ以降のバージョン
FortiSIEM version 6.6.5またはこれ以降のバージョン
FortiSIEM version 6.5.3またはこれ以降のバージョン
FortiSIEM version 6.4.4またはこれ以降のバージョン
○対策
概念実証コードは「GitHub - horizon3ai/CVE-2024-23108: CVE-2024-23108: Fortinet FortiSIEM Unauthenticated 2nd Order Command Injection」にて公開された。このコードはコマンドとして完成しており、誰でも容易に攻撃を試行することができる。
なお、この概念実証コードを使用すると、phMonitorサービスのログ(/opt/phoenix/logs/phoenix.log)に「datastore.py nfs test」で失敗したことを示すログエントリーが生成されるという。ログが削除または改ざんされていない場合、管理者はこのエントリーを調査することで攻撃の有無を確認可能。
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。脆弱性が存在する製品を運用している管理者には、影響を確認して速やかにアップデートすることが推奨されている。
![](https://image.news.livedoor.com/newsimage/stf/9/a/9a8c5_1223_fdc1f6f5fe96a107fda28964b8cc6f03.jpg)
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
PSIRT | FortiGuard Labs
脆弱性の情報(CVE)は次のとおり。
CVE-2024-23108 - OSコマンドインジェクションの脆弱性。攻撃者は細工したAPI(Application Programming Interface)リクエストを介して不正なコードまたはコマンドを実行する可能性がある
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
FortiSIEM version 7.1.0から7.1.1まで
FortiSIEM version 7.0.0から7.0.2まで
FortiSIEM version 6.7.0から6.7.8まで
FortiSIEM version 6.6.0から6.6.3まで
FortiSIEM version 6.5.0から6.5.2まで
FortiSIEM version 6.4.0から6.4.2まで
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
FortiSIEM version 7.2.0またはこれ以降のバージョン
FortiSIEM version 7.1.3またはこれ以降のバージョン
FortiSIEM version 7.0.3またはこれ以降のバージョン
FortiSIEM version 6.7.9またはこれ以降のバージョン
FortiSIEM version 6.6.5またはこれ以降のバージョン
FortiSIEM version 6.5.3またはこれ以降のバージョン
FortiSIEM version 6.4.4またはこれ以降のバージョン
○対策
概念実証コードは「GitHub - horizon3ai/CVE-2024-23108: CVE-2024-23108: Fortinet FortiSIEM Unauthenticated 2nd Order Command Injection」にて公開された。このコードはコマンドとして完成しており、誰でも容易に攻撃を試行することができる。
なお、この概念実証コードを使用すると、phMonitorサービスのログ(/opt/phoenix/logs/phoenix.log)に「datastore.py nfs test」で失敗したことを示すログエントリーが生成されるという。ログが削除または改ざんされていない場合、管理者はこのエントリーを調査することで攻撃の有無を確認可能。
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。脆弱性が存在する製品を運用している管理者には、影響を確認して速やかにアップデートすることが推奨されている。