In einem umfassenden Sicherheitsbericht hat Horizon3.ai eine gravierende RCE Schwachstelle in Fortinet FortiSIEM entdeckt. Die Schwachstelle CVE-2023-34992, ermöglicht eine nicht authentifizierte Remote-Code-Ausführung mit Root-Rechten. Die Sicherheitslücke wurde mit einem CVSS3.0-Score von 10.0 bewertet, da sie potenziell den Zugriff auf sensible Daten und das Ausführen beliebigen Codes erlaubt.
FortiSIEM ist eine Security Information and Event Management Lösung und bietet umfassende Funktionen wie Log-Sammlung, Korrelation, automatisierte Reaktionen und Problembehebung. Es unterstützt einfache sowie komplexe Installationen, die von eigenständigen Geräten bis hin zu großen Unternehmenslösungen reichen.
Während der Prüfung von FortiSIEM wurden mehrere unspezifische SQL-Injection-Schwachstellen identifiziert. Besonders auffällig war die LicenseUploadServlet
-Klasse, die über den sendCommand()
-Aufruf ungesicherte Eingaben an den phMonitor
-Dienst weiterleitete. Dieser Dienst, der auf Port 7900 lauscht, akzeptiert Nachrichten ohne Authentifizierung und ermöglicht dadurch die Ausführung von beliebigem Code.
Die Sicherheitslücke ermöglicht es einem Angreifer, speziell formatierte Nachrichten an den phMonitor
-Dienst zu senden. Durch die Konstruktion einer schädlichen XML-Nachricht, die an den handleStorageRequest()
-Handler gesendet wird, kann ein Angreifer beliebige Systembefehle ausführen, was zur Kompromittierung des Systems führt.
Betroffene Systeme protokollieren verdächtige Aktivitäten im phoenix.log
. Eine sorgfältige Analyse dieser Logs kann Hinweise auf eine Ausnutzung der Schwachstelle liefern.
Administratoren von FortiSIEM sollten ihre Systeme umgehend auf Sicherheitspatches prüfen und verdächtige Aktivitäten in den Logs untersuchen. Fortinet bietet detaillierte Anweisungen zur Behebung dieser Schwachstellen.
Weitere Informationen und ein Proof-of-Concept-Exploit sind auf GitHub verfügbar.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: