Fortinet ha lanzado parches para varias versiones de FortiOS, el sistema operativo/firmware de sus cortafuegos Fortigate y otros dispositivos, en las que incluyen una corrección para CVE-2023-27997, un fallo críítico de ejecución remota de código (RCE) que no requiere que el atacante esté autenticado para explotarlo. Se recomienda actualizar el firmware lo antes posible.
Fortinet ha publicado un aviso oficial sobre la vulnerabilidad crítica, rastreada como CVE-2023-27997 (puntuación CVSS: 9,2), que afecta a FortiOS y FortiProxy. La entidad parcheó silenciosamente una supuesta vulnerabilidad crítica de ejecución remota de código (RCE) en los firewalls Fortigate SSL VPN.
«Una vulnerabilidad de desbordamiento de búfer basada en heap [CWE-122] en FortiOS y FortiProxy SSL-VPN puede permitir a un atacante remoto ejecutar código o comandos arbitrarios a través de peticiones específicamente diseñadas», indica Charles Fol, de Lexfo Security.
La vulnerabilidad es un problema de desbordamiento de búfer heap-based y, según Fortinet, puede haber sido explotada en un número limitado de ataques dirigidos a los sectores gubernamental, manufacturero y de infraestructuras críticas.
Según una actualización del 14 de junio de 2023, Fortinet tiene conocimiento de casos en los que se ha aprovechado esta vulnerabilidad para descargar el archivo de configuración de los dispositivos atacados y añadir una cuenta super_admin maliciosa llamada fortigate-tech-support:
La empresa tiene un historial de publicación de parches de seguridad antes de revelar vulnerabilidades críticas. Presumiblemente, esta política tiene por objeto dar tiempo a los clientes para actualizar sus dispositivos antes de que las amenazas exploten los fallos, pero en la práctica, da a los atacantes una ventaja en el desarrollo de ataques, mientras que mantiene a las organizaciones vulnerables en la oscuridad.
Por otra parte, las vulnerabilidades de los dispositivos de Fortinet son históricamente populares entre los atacantes de todos los niveles de habilidad, aunque la explotabilidad varía en función de cada vulnerabilidad. El gobierno de EE.UU. publicó recientemente un boletín de seguridad en el que se destacaban las amenazas patrocinadas por el Estado que accedían a las redes a través de dispositivos Fortigate. Las vulnerabilidades de Fortinet también son populares entre los grupos de intermediarios de acceso inicial que venden el acceso a las redes de víctimas potenciales a grupos de ransomware.
¿Estamos expuestos?
BleepingComputer ha reportado que el proceso de búsqueda de firewalls Fortigate expuestos ha descubierto más de 250K instalaciones en todo el mundo, la mayoría de ellos en los EE.UU. Sin embargo, la vulnerabilidad se extiende hasta una enorme cantidad de equipos en Latinoamérica, convirtiendose en crítica la necesidad de tomar acciones inmediatas.
Los dispositivos Fortinet son algunos de los cortafuegos y dispositivos VPN más populares del mercado, lo que los convierte en un objetivo popular para los ataques.
La compañía no está vinculando explícitamente el FG-IR-23-097 (CVE-2023-27997) a la campaña Volt Typhoon, sin embargo, Fortinet cree que todos los actores de amenazas, incluyendo la APT Volt Typhoon, pueden empezar a explotar el problema anterior. Debido a esto, Fortinet insta a sus clientes a parchear inmediatamente sus instalaciones.
El problema afecta al menos a
FortiOS-6K7K versión 7.0.10
FortiOS-6K7K versión 7.0.5
FortiOS-6K7K versión 6.4.12
FortiOS-6K7K versión 6.4.10
FortiOS-6K7K versión 6.4.8
FortiOS-6K7K versión 6.4.6
FortiOS-6K7K versión 6.4.2
FortiOS-6K7K versión 6.2.9 a 6.2.13
FortiOS-6K7K versión 6.2.6 a 6.2.7
FortiOS-6K7K versión 6.2.4
FortiOS-6K7K versión 6.0.12 a 6.0.16
FortiOS-6K7K versión 6.0.10
Por lo tanto, se recomienda, como mínimo, trabajar con la versión:
FortiProxy versión 7.2.0 a 7.2.3
FortiProxy versión 7.0.0 a 7.0.9
FortiProxy versión 2.0.0 a 2.0.12
FortiProxy 1.2 todas las versiones
FortiProxy 1.1 todas las versiones
Con respecto a FortiOS, actualizar y operar con la versión:
FortiOS versión 7.2.0 a 7.2.4
FortiOS versión 7.0.0 a 7.0.11
FortiOS versión 6.4.0 a 6.4.12
FortiOS versión 6.2.0 a 6.2.13
FortiOS versión 6.0.0 a 6.0.16
Acciones recomendadas por Fortinet
- En caso de que en el equipo se encuentre habilitado SSL-VPN, Fortinet recomienda que tomen medidas inmediatas para actualizar a la versión de firmware más reciente. Si el cliente no está operando SSL-VPN el riesgo de este problema se mitiga – sin embargo, Fortinet sigue recomendando la actualización. Un atacante remoto puede activar la vulnerabilidad para ejecutar código o comandos arbitrarios mediante el envío de solicitudes específicamente diseñadas a los dispositivos vulnerables.
- Revise sus sistemas en busca de pruebas de explotación de vulnerabilidades anteriores, por ejemplo, FG-IR-22-377 / CVE-2022-40684.
- Siga las recomendaciones de endurecimiento, por ejemplo, FortiOS 7.2.0 Hardening Guide. Minimice la superficie de ataque desactivando las funciones no utilizadas y gestionando los dispositivos a través de un método fuera de banda siempre que sea posible.
Referencia: