Fortinet сообщила о двух новых старых уязвимостях FortiSIEM

В продукте FortiSIEM обнаружены две новых уязвимости: CVE-2024-23108 и CVE-2024-23109. При этом компания не стала отдельно публиковать информацию о них, просто дополнив сведения об исправленной в октябре 2023 года CVE-2023-34992. Таким поведением Fortinet вызвала немало вопросов у ИБ-специалистов.

Компания прокомментировала сложившуюся ситуацию Bleeping Computer, объяснив произошедшее инцидентом с программным инцидентом приложения. В ходе расследования появления CVE-2023-34992 компания фактически создала две новых уязвимости. Произошедшее в Fortinet назвали системной ошибкой и заявили, что уже работают над его устранением.

Обнаруживший проблему эксперт Зак Хенли из Horizon3 с трактовкой компании не согласился. Он назвал выявленные CVE-2024-23108 и CVE-2024-23109 полноценными уязвимостями, которые позволяют успешно обойти исправления CVE-2023-34992.

В Fortinet в итоге признали новые уязвимости, однако отметили, что они имеют аналогичное исправленной в октябре проблеме безопасности описание. Уязвимости связаны с некорректной нейтрализацией специальных элементов в командах операционной системы. Их использование позволяет потенциальному злоумышленнику выполнять команды через специальные запросы API без авторизации.