Mais de 300.000 firewalls Fortinet vulneráveis ao bug crítico de RCE do FortiOS
4 de Julho de 2023

Centenas de milhares de firewalls FortiGate estão vulneráveis a um problema de segurança crítico identificado como CVE-2023-27997 , quase um mês após a Fortinet lançar uma atualização que aborda o problema.

A vulnerabilidade é uma execução remota de código com uma pontuação de gravidade de 9,8 de 10, resultante de um problema de estouro de buffer baseado em heap no FortiOS, o sistema operacional que conecta todos os componentes de rede da Fortinet para integrá-los na plataforma Security Fabric do fornecedor.

O CVE-2023-27997 é explorável e permite que um atacante não autenticado execute código remotamente em dispositivos vulneráveis com a interface SSL VPN exposta na web.

Em um comunicado em meados de junho, o fornecedor alertou que o problema pode ter sido explorado em ataques.

A Fortinet abordou a vulnerabilidade em 11 de junho, antes de divulgá-la publicamente, lançando as versões do firmware FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 e 7.2.5.

A empresa de soluções de segurança ofensivas Bishop Fox relatou na sexta-feira que, apesar dos apelos para a correção, mais de 300.000 dispositivos FortiGate ainda estão vulneráveis a ataques e acessíveis pela internet pública.

Os pesquisadores da Bishop Fox usaram o mecanismo de busca Shodan para encontrar dispositivos que responderam de uma maneira que indicava uma interface SSL VPN exposta.

Eles conseguiram isso procurando dispositivos que retornaram um cabeçalho de resposta HTTP específico.

Eles filtraram os resultados para aqueles que redirecionaram para '/remote/login', uma indicação clara de uma interface SSL VPN exposta.

A consulta acima mostrou 489.337 dispositivos, mas nem todos eles eram vulneráveis ao CVE-2023-27997 , também conhecido como Xortigate.

Investigando mais a fundo, os pesquisadores descobriram que 153.414 dos dispositivos descobertos haviam sido atualizados para uma versão segura do FortiOS.

Isso significa que aproximadamente 335.900 dos firewalls FortiGate acessíveis pela web estão vulneráveis a ataques, um número significativamente maior do que a estimativa recente de 250.000 com base em consultas menos precisas, afirmam os pesquisadores da Bishop Fox.

Outra descoberta feita pelos pesquisadores da Bishop Fox foi que muitos dos dispositivos FortiGate expostos não receberam uma atualização nos últimos oito anos, alguns deles executando o FortiOS 6, que chegou ao fim do suporte no ano passado, em 29 de setembro.

Esses dispositivos são vulneráveis a várias falhas de gravidade crítica para as quais há código de exploração de prova de conceito publicamente disponível.

Para demonstrar que o CVE-2023-27997 pode ser usado para executar código remotamente em dispositivos vulneráveis, a Bishop Fox criou uma exploração que "quebra o heap, se conecta a um servidor controlado pelo atacante, faz o download de um binário BusyBox e abre um shell interativo."

"Esta exploração segue muito de perto os passos detalhados na postagem original do blog da Lexfo [...] e é executada em aproximadamente um segundo, o que é significativamente mais rápido do que o vídeo de demonstração em um dispositivo de 64 bits mostrado pela Lexfo", observa a Bishop Fox em seu relatório.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...