Các nhà nghiên cứu bảo mật đã phát hành mã khai thác (PoC) cho một lỗ hổng có mức độ nghiêm trọng tối đa, đã được vá vào tháng 2, trong giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) của Fortinet.
Lỗ hổng có định danh CVE-2024-23108, là một lỗi command injection được phát hiện và báo cáo bởi nhà nghiên cứu Zach Hanley của Horizon3. Lỗ hổng cho phép thực thi lệnh từ xa với quyền root mà không yêu cầu xác thực.
Fortinet cho biết việc xử lý dữ liệu không đúng cách trong công cụ giám sát FortiSIEM có thể cho phép kẻ tấn công chưa được xác thực thực thi lệnh (command) trái phép thông qua các yêu cầu (request) độc hại.
CVE-2024-23108 ảnh hưởng đến các phiên bản FortiClient FortiSIEM từ 6.4.0 trở lên và đã được công ty vá vào ngày 8 tháng 2, cùng với lỗ hổng RCE thứ hai (CVE-2024-23109) có độ nghiêm trọng tối đa, điểm CVSS 10/10. Fortinet cho biết cả hai lỗ hổng đều là biến thể của CVE-2023-34992.
Vào thứ Ba, hơn ba tháng sau khi Fortinet phát hành các bản cập nhật bảo mật để vá lỗ hổng này, Horizon3 đã chia sẻ mã khai thác (PoC) và bản phân tích kỹ thuật chi tiết cho lỗ hổng.
Hanley cho biết: "Trong khi các bản vá cho vấn đề PSIRT ban đầu, FG-IR-23-130, đã bổ sung các kiểm tra xử lý đối với dữ liệu đầu vào do người dùng kiểm soát bằng cách thêm tiện ích wrapShellToken(), vẫn tồn tại lỗi command injection thứ hai tại một số tham số được truyền vào datastore.py".
"Việc khai thác CVE-2024-23108 sẽ để lại dữ liệu nhật ký (log) chứa một lệnh không thành công với ‘datastore.py nfs test’".
PoC của Horizon3 thử nghiệm việc thực thi các lệnh dưới quyền root trên mọi thiết bị FortiSIEM chưa được vá lỗi có kết nối Internet.
Horizon3 cũng đã phát hành một PoC cho lỗ hổng nghiêm trọng trong phần mềm FortiClient Enterprise Management Server (EMS) của Fortinet, hiện đang bị khai thác tích cực trong các cuộc tấn công.
Lỗ hổng Fortinet thường xuyên bị khai thác trong các cuộc tấn công ransomware và gián điệp mạng nhắm vào các mạng doanh nghiệp và chính phủ.
Do đó, các tổ chức cần thường xuyên kiểm tra và cập nhật bản vá cho phần mềm/ ứng dụng đang sử dụng ngay khi chúng có sẵn hoặc áp dụng các biện pháp thay thế theo khuyến nghị từ nhà cung cấp để giảm thiểu các rủi ro tiềm ẩn.
Nguồn: bleepingcomputer.com.
Hơn 90 ứng dụng Android độc hại với hơn 5,5 triệu lượt cài đặt đã được phát hiện trên Google Play để phát tán các phần mềm độc hại và phần mềm quảng cáo, đáng chú ý trong số đó là Anatsa, một trojan ngân hàng có hoạt động tăng vọt trong thời gian gần đây.
Tín nhiệm mạng | Một lỗ hổng bảo mật có điểm nghiêm trọng tối đa đã được phát hiện trong bộ định tuyến TP-Link Archer C5400X gaming có thể dẫn đến việc thực thi mã từ xa trên các thiết bị bị ảnh hưởng bằng cách gửi các request độc hại.
Tín nhiệm mạng | Microsoft đang cảnh báo về một nhóm tội phạm mạng có trụ sở tại Morocco có tên Storm-0539 đứng sau hành vi gian lận và trộm cắp thẻ quà tặng thông qua các cuộc tấn công lừa đảo tinh vi qua email và SMS
Tín nhiệm mạng | Các tác nhân đe dọa đang sử dụng các trang web giả mạo giả dạng giải pháp chống vi-rút hợp pháp của Avast, Bitdefender và Malwarebytes để phát tán phần mềm độc hại có khả năng đánh cắp thông tin nhạy cảm từ thiết bị Android và Windows.
Lợi dụng một bộ phận người dân không thông thạo về công nghệ thông tin, chưa biết cách thức nộp hồ sơ trực tuyến, trên mạng xã hội xuất hiện nhiều trang, hội nhóm “dịch vụ” làm hộ chiếu nhanh.
Hệ thống tự động quảng cáo với những nội dung được tạo ra bởi AI đã trở thành yếu tố để những tên tội phạm mạng vượt qua được hàng rào bảo mật cũng như những chính sách mà YouTube đặt ra, khiến cho nền tảng này trở thành không gian hoạt động hoàn hảo của những tên lừa đảo.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
