
Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Rabu menambahkan kelemahan keamanan kritis yang berdampak pada produk Fortinet ke dalam katalog Kerentanan yang Diketahui Dieksploitasi (KEV), dengan mengutip bukti eksploitasi aktif.
Kerentanannya, dilacak sebagai CVE-2024-23113 (Skor CVSS: 9.8), berkaitan dengan kasus eksekusi kode jarak jauh yang memengaruhi FortiOS, FortiPAM, FortiProxy, dan FortiWeb.
“Penggunaan kerentanan string format yang dikontrol secara eksternal [CWE-134] daemon fgfmd di FortiOS memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode atau perintah arbitrer melalui permintaan yang dibuat khusus,” kata Fortinet dalam peringatan atas kelemahan tersebut pada Februari 2024.

Seperti yang biasa terjadi, buletin yang ada tidak memberikan rincian mengenai bagaimana kelemahan tersebut dieksploitasi, atau siapa yang mempersenjatainya dan melawan siapa.
Mengingat eksploitasi aktif, badan-badan Cabang Eksekutif Sipil Federal (FCEB) diberi mandat untuk menerapkan mitigasi yang disediakan vendor paling lambat tanggal 30 Oktober 2024, untuk perlindungan optimal.
Palo Alto Networks Mengungkapkan Bug Kritis dalam Ekspedisi
Perkembangan ini terjadi ketika Palo Alto Networks mengungkapkan beberapa kelemahan keamanan di Ekspedisi yang memungkinkan penyerang membaca konten database dan file arbitrer, selain menulis file arbitrer ke lokasi penyimpanan sementara di sistem.
“Jika digabungkan, ini mencakup informasi seperti nama pengguna, kata sandi teks jelas, konfigurasi perangkat, dan kunci API perangkat firewall PAN-OS,” kata Palo Alto Networks dalam peringatan hari Rabu.

Kerentanan, yang memengaruhi semua versi Ekspedisi sebelum 1.2.96, tercantum di bawah –
- CVE-2024-9463 (Skor CVSS: 9.9) – Kerentanan injeksi perintah sistem operasi (OS) yang memungkinkan penyerang yang tidak diautentikasi menjalankan perintah OS sewenang-wenang sebagai root
- CVE-2024-9464 (Skor CVSS: 9.3) – Kerentanan injeksi perintah OS yang memungkinkan penyerang terautentikasi menjalankan perintah OS sewenang-wenang sebagai root
- CVE-2024-9465 (Skor CVSS: 9.2) – Kerentanan injeksi SQL yang memungkinkan penyerang yang tidak diautentikasi mengungkapkan konten database Ekspedisi
- CVE-2024-9466 (Skor CVSS: 8.2) – Penyimpanan teks jelas dari kerentanan informasi sensitif yang memungkinkan penyerang terautentikasi mengungkapkan nama pengguna firewall, kata sandi, dan kunci API yang dihasilkan menggunakan kredensial tersebut
- CVE-2024-9467 (Skor CVSS: 7.0) – Kerentanan skrip lintas situs (XSS) yang tercermin yang memungkinkan eksekusi JavaScript berbahaya dalam konteks browser pengguna Ekspedisi yang diautentikasi jika pengguna tersebut mengeklik tautan jahat, sehingga memungkinkan serangan phishing yang dapat mengarah ke browser Ekspedisi pencurian sesi
Perusahaan memberi penghargaan kepada Zach Hanley dari Horizon3.ai karena menemukan dan melaporkan CVE-2024-9464, CVE-2024-9465, dan CVE-2024-9466, dan Enrique Castillo dari Palo Alto Networks untuk CVE-2024-9463, CVE-2024- 9464, CVE-2024-9465, dan CVE-2024-9467.


Tidak ada bukti bahwa masalah ini pernah dieksploitasi secara liar, meskipun dikatakan bahwa langkah-langkah untuk mereproduksi masalah tersebut sudah berada dalam domain publik, atas izin Horizon3.ai.

Ada sekitar 23 server Ekspedisi yang terekspos ke internet, sebagian besar berlokasi di AS, Belgia, Jerman, Belanda, dan Australia. Sebagai mitigasi, disarankan untuk membatasi akses ke pengguna, host, atau jaringan yang berwenang, dan mematikan perangkat lunak saat tidak digunakan secara aktif.
Cisco Memperbaiki Cacat Pengontrol Fabric Dasbor Nexus
Pekan lalu, Cisco juga merilis patch untuk memperbaiki kelemahan eksekusi perintah kritis di Nexus Dashboard Fabric Controller (NDFC) yang dikatakan berasal dari otorisasi pengguna yang tidak tepat dan validasi argumen perintah yang tidak memadai.
Dilacak sebagai CVE-2024-20432 (skor CVSS: 9.9), ini dapat mengizinkan penyerang jarak jauh yang diautentikasi, memiliki hak istimewa rendah, untuk melakukan serangan injeksi perintah terhadap perangkat yang terpengaruh. Cacat ini telah diatasi di NDFC versi 12.2.2. Perlu dicatat bahwa versi 11.5 dan sebelumnya tidak rentan.
“Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan perintah yang dibuat ke titik akhir REST API yang terpengaruh atau melalui UI web,” katanya. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi perintah sewenang-wenang pada CLI perangkat yang dikelola Cisco NDFC dengan hak istimewa admin jaringan.”