针对 Fortinet FortiSIEM 中一个严重的未经身份验证的远程代码执行漏洞（CVE-2023-34992）的概念验证 (PoC) 漏洞已发布。

该漏洞的 CVSS 评分为 10.0，是由 Horizo​​n3.ai 的研究人员在 2023 年初对 Fortinet 设备进行审计时发现的。

Fortinet FortiSIEM 是一种全面的安全信息和事件管理 (SIEM)解决方案，提供日志收集、关联、自动响应和补救功能。

什么是Fortinet Forti SIEM

FortiSIEM 搭载众多优势功能，支持自动构建资产清单，自动应用前沿行为分析，快速检测和响应威胁，为安全运营团队提供强劲支持。FortiSIEM 是业内唯一一款全面内置配置管理数据库 (CMDB) 的安全运营平台。

Fortinet Advisor — FortiSIEM 内置生成式 AI 优势功能

Fortinet Advisor 搭载生成式 AI 助手，在事件调查、响应、威胁猎捕等过程中提供指导并提升 FortiSIEM 分析师技能水平。Advisor 可自动解析安全事件，并在数秒内生成涵盖潜在负面影响及补救措施建议等易于理解的事件摘要。分析师还可使用自然语言向 Fortinet Advisor 提问，以创建内容丰富的报告，并获得安全产品方面的建议和帮助。丰富的内置菜单提示，支持 FortiSIEM 分析师在通用工作流活动中轻松调用 Advisor AI 助手。

下一代 SOC 自动化

FortiGuard Labs 威胁情报专家提供 24x7 全天候支持，极速分析最新威胁并构建缓解措施。依托 UEBA 等全新 AI 驱动的行为异常检测功能，FortiSIEM 可有效防范各类已知和未知威胁。利用统计模型识别与正常行为模式不符的异常行为，如以极快速度（或窃取凭据）实现跨地区登录。

通过链路分析实现可视化威胁猎捕

FortiSIEM 支持在统一可扩展解决方案中提供可见性、关联性、自动响应和修复措施建议。既能显著降低网络管理和安全运营复杂性，又能有效释放资源，优化漏洞检测，甚至防御各类恶意入侵。为提高威胁猎捕效率，FortiSIEM 现已搭载全新链路图技术，轻松构建用户、设备和事件间的可视化视图。

RCE 漏洞和 PoC

在对 Fortinet 设备进行审计时发现了一个严重漏洞，该漏洞揭示了多个问题，最终导致了这一重大缺陷的发现。

通过分析反编译的 Java 代码，研究人员发现该 doPost 方法对 LicenseUploadServlet 用户输入的过滤不够充分，允许攻击者通过“Name”参数注入任意命令

FortiSIEM 的后端 Web 服务通过 Java 框架 Glassfish 部署。漏洞存在于 LicenseUploadServlet.classWeb 服务中。

发现该 servlet 的方法doPost容易受到命令注入攻击，从而允许未经身份验证的攻击者利用该系统。

PoC 演示了攻击者如何利用此漏洞来实现未经身份验证的远程代码执行。

通过利用LicenseUploadServlet，攻击者可以上传在 root 用户上下文中执行命令的恶意负载。

此访问权限可用于读取集成系统中的机密，从而实现网络内的进一步横向移动。完整的 PoC 可在GitHub上找到。

成功利用 CVE-2023-34992 可让攻击者：

• 以root用户身份执行任意命令。
• 从集成系统中读取敏感信息和秘密。
• 转向网络内的其他系统，可能会导致大范围的危害。

如何降低影响

Fortinet 已在近期更新中修复了此漏洞。任何从 6.4.0 到 7.1.1 的 FortiSIEM 版本均存在风险。Fortinet 已针对 7.0.3、7.1.3 和 6.7.9 版本发布了补丁，建议升级到这些版本或更高版本。

此外，预计版本 7.2.0、6.6.5、6.5.3 和 6.4.4 的补丁将很快发布。

强烈建议用户应用最新补丁以降低风险。此外，建议遵循保护 SIEM 部署的最佳实践，例如限制对管理界面的访问和定期审核系统配置。

/opt/phoenix/logs/phoenix.logs使用 FortiSIEM 的组织应该检查其日志中是否存在任何异常活动，尤其是可能保存 phMonitor 服务收到的消息内容的文件中。

使用 Fortinet FortiSIEM 的组织应优先更新其系统，以防止可能利用此严重漏洞。

---

推荐阅读

• TheMoon 恶意软件短时间感染 6,000 台华硕路由器以获取代理服务
• 【网络安全】2030年十大新兴网络安全威胁
• 【网络安全】上网行为代理服务器启用Alerts
• CVE-2024-3400 PAN-OS:Palo Alto Networks PAN-OS GlobalProtect 功能中一个非常严重的零日漏洞
• 【网络安全】WebCatcher识别未分类的URL