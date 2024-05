Security Affairsは5月28日(現地時間)、「Experts released PoC exploit code for RCE in Fortinet SIEM」において、FortinetのSIEM(Security Information and Event Management)製品「FortiSIEM」について、今年2月に発見されたリモートコード実行(RCE: Remote Code Execution)の脆弱性に対する概念実証(PoC: Proof of Concept)コードが公開されたと報じた。この概念実証コードを使用されると、認証されていない第三者に遠隔から管理者権限で任意のコマンドを実行される可能性がある。

Experts released PoC exploit code for RCE in Fortinet SIEM○脆弱性に関する情報脆弱性に関する情報は次のページにまとまっている。PSIRT | FortiGuard Labs脆弱性の情報(CVE)は次のとおり。CVE-2024-23108 - OSコマンドインジェクションの脆弱性。攻撃者は細工したAPI(Application Programming Interface)リクエストを介して不正なコードまたはコマンドを実行する可能性がある○脆弱性が存在する製品脆弱性が存在する製品およびバージョンは次のとおり。FortiSIEM version 7.1.0から7.1.1までFortiSIEM version 7.0.0から7.0.2までFortiSIEM version 6.7.0から6.7.8までFortiSIEM version 6.6.0から6.6.3までFortiSIEM version 6.5.0から6.5.2までFortiSIEM version 6.4.0から6.4.2まで○脆弱性が修正された製品脆弱性が修正された製品およびバージョンは次のとおり。FortiSIEM version 7.2.0またはこれ以降のバージョンFortiSIEM version 7.1.3またはこれ以降のバージョンFortiSIEM version 7.0.3またはこれ以降のバージョンFortiSIEM version 6.7.9またはこれ以降のバージョンFortiSIEM version 6.6.5またはこれ以降のバージョンFortiSIEM version 6.5.3またはこれ以降のバージョンFortiSIEM version 6.4.4またはこれ以降のバージョン○対策概念実証コードは「GitHub - horizon3ai/CVE-2024-23108: CVE-2024-23108: Fortinet FortiSIEM Unauthenticated 2nd Order Command Injection」にて公開された。このコードはコマンドとして完成しており、誰でも容易に攻撃を試行することができる。なお、この概念実証コードを使用すると、phMonitorサービスのログ(/opt/phoenix/logs/phoenix.log)に「datastore.py nfs test」で失敗したことを示すログエントリーが生成されるという。ログが削除または改ざんされていない場合、管理者はこのエントリーを調査することで攻撃の有無を確認可能。この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。脆弱性が存在する製品を運用している管理者には、影響を確認して速やかにアップデートすることが推奨されている。