یک اکسپلویت PoC برای بهره برداری از آسیب پذیری موجود در Fortinet’s Security Information و SIEM منتشر شده است. این آسیب پذیری قبلا در ماه فوریه رفع شده است.
آسیب پذیری مذکور به شماره CVE-202423108 یک آسیب پذیری تزریق دستور بوده که به مهاجم امکان اجرای کد از راه دور بدون نیاز به احراز هویت را میدهد.
آسیب پذیری مذکور بر روی FortiClient FortiSIEM نسخه 6.4.0 و بالاتر تأثیر داشته و در 8 فوریه توسط این شرکت به همراه آسیب پذیری RCE دوم (CVE-2024-23109) با شدت 10/10 رفع شد.
بیش از سه ماه پس از اینکه Fortinet بهروزرسانیهای امنیتی را برای رفع این نقص امنیتی منتشر کرد، تیم حمله Horizon3 یک اکسپلویت (PoC) را منتشر کرد.
اکسپلویت مذکور به اجرای دستورات به صورت روت در هر دستگاه FortiSIEM که به اینترنت وصل بوده و آپدیت نشده است، کمک می کند.
این تیم همچنین یک اکسپلویت PoC را برای نقص مهمی در نرم افزار FortiClient Enterprise Management Server منتشر کرد که اکنون به طور فعال در حملات مورد سوء استفاده قرار می گیرد.
آسیبپذیریهای Fortinet اغلب در حملات باجافزاری و جاسوسی سایبری که شبکههای شرکتی و دولتی را هدف قرار میدهند، به صورت zero-day مورد سوء استفاده قرار میگیرند.
به عنوان مثال، این شرکت در ماه فوریه فاش کرد که هکرهای چینی Volt Typhoon از دو نقص در FortiOS SSL VPN (CVE-2022-42475 و CVE-2023-27997) برای استقرار تروجان دسترسی از راه دور Coathanger (RAT)، استفاده کردند.
منبع:
