Fortinet FortiSIEM Remote Code Execution mit Root Rechten möglich

In einem umfassenden Sicherheitsbericht hat Horizon3.ai eine gravierende RCE Schwachstelle in Fortinet FortiSIEM entdeckt. Die Schwachstelle CVE-2023-34992, ermöglicht eine nicht authentifizierte Remote-Code-Ausführung mit Root-Rechten. Die Sicherheitslücke wurde mit einem CVSS3.0-Score von 10.0 bewertet, da sie potenziell den Zugriff auf sensible Daten und das Ausführen beliebigen Codes erlaubt.

FortiSIEM ist eine Security Information and Event Management Lösung und bietet umfassende Funktionen wie Log-Sammlung, Korrelation, automatisierte Reaktionen und Problembehebung. Es unterstützt einfache sowie komplexe Installationen, die von eigenständigen Geräten bis hin zu großen Unternehmenslösungen reichen.

Während der Prüfung von FortiSIEM wurden mehrere unspezifische SQL-Injection-Schwachstellen identifiziert. Besonders auffällig war die LicenseUploadServlet-Klasse, die über den sendCommand()-Aufruf ungesicherte Eingaben an den phMonitor-Dienst weiterleitete. Dieser Dienst, der auf Port 7900 lauscht, akzeptiert Nachrichten ohne Authentifizierung und ermöglicht dadurch die Ausführung von beliebigem Code.

Die Sicherheitslücke ermöglicht es einem Angreifer, speziell formatierte Nachrichten an den phMonitor-Dienst zu senden. Durch die Konstruktion einer schädlichen XML-Nachricht, die an den handleStorageRequest()-Handler gesendet wird, kann ein Angreifer beliebige Systembefehle ausführen, was zur Kompromittierung des Systems führt.

Betroffene Systeme protokollieren verdächtige Aktivitäten im phoenix.log. Eine sorgfältige Analyse dieser Logs kann Hinweise auf eine Ausnutzung der Schwachstelle liefern.

Administratoren von FortiSIEM sollten ihre Systeme umgehend auf Sicherheitspatches prüfen und verdächtige Aktivitäten in den Logs untersuchen. Fortinet bietet detaillierte Anweisungen zur Behebung dieser Schwachstellen.

Weitere Informationen und ein Proof-of-Concept-Exploit sind auf GitHub verfügbar.

Related Posts

Bitbucket: Datenleck in CI/CD-Pipeline

Eine kürzlich von Mandiant durchgeführtes Untersuchung hat aufgedeckt, dass AWS-Geheimnisse aus Atlassians Code-Repository-Tool Bitbucket geleakt und von Angreifern genutzt wurden, um unautorisierten Zugang zu erlangen.

Read More

Schwachstellen in OpenMetadata ermöglichen Angriffe auf Kubernetes-Cluster

Microsoft Threat Intelligence hat einen neuen Angriff entdeckt, bei dem kritische Schwachstellen in OpenMetadata ausgenutzt werden, um Kubernetes-Workloads zu kompromittieren und für Krypto-Mining-Aktivitäten zu nutzen. OpenMetadata ist eine Open-Source-Plattform zur Verwaltung von Metadaten über verschiedene Datenquellen hinweg.

Read More

WordPress-Plugin "All in One SEO" anfällig für Cross Site Scripting Angriffe

Eine schwerwiegende Sicherheitslücke wurde im weit verbreiteten WordPress-Plugin “All in One SEO” entdeckt, das mehr als 3 Millionen Installationen zählt. Diese Schwachstelle, gekennzeichnet als CVE-2024-3368, ermöglicht Angreifern die Ausführung von schädlichem Code durch gespeicherte Cross-Site Scripting (XSS)-Angriffe. Dies könnte zur Erstellung von Administrator-Accounts durch Beitragsautoren führen, betroffen sind alle All in One SEO Versionen älter als 4.6.1.1.

Read More