0
0
Os pesquisadores escreveram código de exploração para uma vulnerabilidade crítica de execução remota de código (RCE) nas VPNs SSL FortiGate da Fortinet que o fornecedor divulgou e corrigiu em junho de 2023.
A equipe de pesquisa de Bishop Fox, que desenvolveu o exploit, estimou que há cerca de 340.000 dispositivos FortiGate afetados que atualmente não são corrigidos contra a falha e permanecem abertos a ataques. Esse número é significativamente maior do que os 250.000 dispositivos FortiGate que vários pesquisadores estimaram que eram vulneráveis a explorar quando a Fortinet divulgou a falha pela primeira vez em 12 de junho.
Código não divulgado publicamente — mas há um GIF
“Há 490.000 interfaces VPN SSL [FortiGate] afetadas expostas na internet, e cerca de 69% delas estão atualmente sem patch”, escreveu o diretor de desenvolvimento de capacidades da Bishop Fox, Caleb Gross, em um post no blog em 30 de junho. “Você deve remendar o seu agora.”
A vulnerabilidade de estouro de buffer baseado em heap, rastreada como CVE-2023-27997, afeta várias versões do software FortiOS e FortiProxy SSL-VPN. Ele dá a um invasor remoto não autenticado uma maneira de executar código arbitrário em um dispositivo afetado e assumir o controle total dele. Pesquisadores da empresa francesa de segurança cibernética Lexfo, que descobriram a falha, avaliaram que ela afeta todos os dispositivos VPN SSL que executam o FortiOS.
A Bishop Fox não divulgou seu código de exploração publicamente. Mas seu post no blog tem um GIF dele em uso. Gross descreveu a exploração que Bishop Fox desenvolveu como dando aos invasores uma maneira de abrir um shell interativo que eles poderiam usar para se comunicar com um dispositivo FortiGate afetado.
“Esta exploração segue muito de perto os passos detalhados no post original do blog da Lexfo, embora tenhamos que tomar algumas etapas extras que não foram mencionadas nesse post”, escreveu Gross. “O exploit é executado em aproximadamente um segundo, o que é significativamente mais rápido do que o vídeo de demonstração em um dispositivo de 64 bits mostrado pela Lexfo.”
A Fortinet emitiu atualizações de firmware que resolveram o problema em 12 de junho. Na época, a empresa disse que a falha afetou organizações do governo, manufatura e outros setores de infraestrutura crítica. A Fortinet disse que estava ciente de um invasor explorando a vulnerabilidade em um número limitado de casos.
A Fortinet alertou sobre o potencial de atores de ameaças como os responsáveis pela campanha de espionagem cibernética Volt Typhoon abusarem do CVE-2023-27997. O Volt Typhoon é um grupo com sede na China que se acredita ter estabelecido acesso persistente em redes pertencentes a empresas de telecomunicações dos EUA e outras organizações de infraestrutura crítica, para roubar dados confidenciais e realizar outras ações maliciosas. A campanha até agora usou principalmente outra falha mais antiga da Fortinet (CVE-2022-40684) para acesso inicial. Mas as organizações também não devem descartar a possibilidade de o Volt Typhoon – e outros atores de ameaças – usarem CVE-2023-27997, alertou a Fortinet.
Por que os dispositivos de segurança se tornam alvos populares
CVE-2023-27997 é uma das inúmeras vulnerabilidades críticas da Fortinet que foram expostas. Como o de quase todos os outros fornecedores de firewall e VPN, os appliances da Fortinet são um alvo popular para os adversários por causa do acesso que fornecem às redes corporativas.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), a Agência de Segurança Nacional (NSA) e outras emitiram vários avisos nos últimos anos sobre a necessidade de as organizações abordarem prontamente as vulnerabilidades nesses e em outros dispositivos de rede devido ao alto interesse de invasores neles.
Em junho de 2022, por exemplo, a CISA alertou sobre agentes de ameaças patrocinados pela China visando ativamente vulnerabilidades não corrigidas em dispositivos de rede de uma ampla gama de fornecedores. O comunicado incluiu uma lista das vulnerabilidades mais comuns. A lista incluía vulnerabilidades em produtos da Fortinet, Cisco, Citrix, Netgear, Pulse, QNAP e Zyxel.
Os administradores de sistemas devem corrigir o mais rápido possível, embora a aplicação de patches de firmware possa ser um pouco mais complicada ao lidar com dispositivos que executam gateways de aplicativos, diz Timothy Morris, conselheiro-chefe de segurança da Tanium. Muitas vezes, aparelhos como os da Fortinet enfrentam o perímetro e têm requisitos de disponibilidade muito altos, o que significa que têm janelas apertadas para troca.
“Para a maioria das organizações, uma certa quantidade de tempo de inatividade é provavelmente inevitável”, diz Morris. Vulnerabilidades como CVE-2023-27997 exigem que a imagem completa do firmware seja recarregada, portanto, há uma certa quantidade de tempo e risco envolvidos, acrescenta. “É necessário fazer backup e restaurar as configurações para garantir que estejam funcionando conforme o esperado.”
FONTE: DARK READING