Fortinet FortiSIEM 产品的一个关键漏洞出现了一个可行的攻击(PoC),这为更广泛的攻击提供了更多机会。
该漏洞被追踪为 CVE-2024-23108,于今年 2 月披露并修复,同时修复的还有与其相关的另一个漏洞 CVE-2024-23109。这两个漏洞在 CVSS 评分系统中的最高严重性评分均为 10 分,都是未经身份验证的命令注入漏洞,攻击者可能利用伪造的 API 请求实现远程代码执行(RCE)。
据 Horizon3AI 的研究人员称,该漏洞被他们称为“NodeZero”,允许用户“以 root 身份在受影响的 FortiSIEM 设备上盲目执行命令”。在 PoC 中,他们使用该漏洞加载了一个用于后继活动的远程访问工具。
FortiSIEM 是 Fortinet 的安全信息和事件管理(SIEM)平台,用于支持企业网络安全运营中心。因此,如果该平台被攻破,攻击者可以以此为跳板进一步入侵企业环境。
受漏洞影响的 FortiSIEM 版本包括 7.1.0 至 7.1.1、7.0.0 至 7.0.2、6.7.0 至 6.7.8、6.6.0 至 6.6.3、6.5.0 至6.5.2 以及 6.4.0 至 6.4.2,用户应立即打上补丁,以避免受到威胁。
