Vulnerabilidades críticas FortiSIEM: CVE-2024-23108, CVE-2024-23109 y CVE-2023-34992
Se han descubierto tres vulnerabilidades que afectan a algunas versiones de FortiSIEM. La primera fue publicada inicialmente el 10 de octubre del 2023, identificada como CVE-2023-34992, y las dos últimas fueron anunciadas el 6 de febrero de 2024, siendo rastreadas como CVE-2024-23108 y CVE-2024-23109. La creación de estas dos últimas vulnerabilidades fue debido a un fallo en la edición de la API, a la cual, según Fortinet, le “detectaron un problema”. Fortinet ya ha lanzado parches para estas vulnerabilidades. Estas dos últimas variantes, al ser duplicadas, tienen la misma descripción que la CVE-2023-34992 original. Fortinet mencionó que estos fallos no están siendo explotados activamente, sin embargo, al tratarse de vulnerabilidades críticas, es altamente recomendado actualizar a las versiones seguras.
La descripción de estas vulnerabilidades, la lista de productos afectados y las indicaciones para poder actualizar a las versiones seguras se presentan a continuación.
Vulnerabilidades
- CVE-2023-34992: Vulnerabilidad que genera una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (‘os command injection’). Tiene una puntuación CVSS de 9.7, y podría permitir que un atacante remoto no autenticado ejecute comandos en el sistema.
- CVE-2024-23108: Vulnerabilidad que genera una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (‘os command injection’). Tiene una puntuación CVSS de 10, y podría permitir que un atacante remoto no autenticado ejecute comandos en el sistema.
- CVE-2024-23109: Vulnerabilidad que genera una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (‘os command injection’). Tiene una puntuación CVSS de 10, y podría permitir que un atacante remoto no autenticado ejecute comandos en el sistema.
Las siguientes versiones de FortiSIEM son afectadas:
- Versión 7.1.0 a la 7.1.1 (parchado en la versión 7.1.2);
- Versión 7.0.0 a la 7.0.2 (parchado en la versión 7.0.3);
- Versión 6.7.0 a la 6.7.8 (parchado en la versión 6.7.9);
- Versión 6.6.0 a la 6.6.3 (parchado en la versión 6.6.5);
- Versión 6.5.0 a la 6.5.2 (parchado en la versión 6.5.3);
- Versión 6.4.0 a la 6.4.2 (parchado en la versión 6.4.4).
Recomendaciones
- Actualizar los dispositivos a alguna de las versiones que parchan las vunerabilidades.
- Mantener políticas de control de accesos robustas.
- Limitar estrictamente el uso de RDP.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad o backups constantemente.
- Revisar continuamente los privilegios de los usuarios.
Referencias
- https://www.fortiguard.com/psirt/FG-IR-23-130
- https://www.cert.europa.eu/publications/security-advisories/2024-017/
- https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-fortisiem-rce-bugs-in-confusing-disclosure/
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-34992
- https://nvd.nist.gov/vuln/detail/CVE-2023-34992
- https://nvd.nist.gov/vuln/detail/CVE-2024-23108
- https://nvd.nist.gov/vuln/detail/CVE-2024-23109
