Το νέο σφάλμα FortiOS RCE “μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης” σε επιθέσεις
Related Posts
Η Fortinet λέει ότι μια κρίσιμη ευπάθεια του FortiOS SSL VPN που επιδιορθώθηκε την περασμένη εβδομάδα “ενδέχεται να έχει γίνει αντικείμενο εκμετάλλευσης” σε επιθέσεις που επηρεάζουν κυβερνητικούς, κατασκευαστικούς και οργανισμούς κρίσιμων υποδομών.
Το ελάττωμα (παρακολουθείται ως
CVE-2023-27997
/
FG-IR-23-097
) είναι μια αδυναμία υπερχείλισης buffer που βασίζεται σε σωρό στο FortiOS και το FortiProxy SSL-VPN που μπορεί να επιτρέψει σε μη επιβεβαιωμένους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα (RCE) μέσω αιτημάτων που έχουν δημιουργηθεί με κακόβουλο τρόπο.
Το CVE-2023-27997 ανακαλύφθηκε κατά τη διάρκεια ελέγχου κώδικα της μονάδας SSL-VPN μετά από ένα άλλο πρόσφατο σύνολο επιθέσεων εναντίον κυβερνητικών οργανισμών που εκμεταλλεύονται το CVE-2022-42475 FortiOS SSL-VPN zero-day.
Την Παρασκευή, η Fortinet κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση της ευπάθειας πριν αποκαλύψει πρόσθετες λεπτομέρειες σήμερα.
Αυτή δεν είναι η πρώτη φορά που η εταιρεία προωθεί ενημερώσεις κώδικα πριν αποκαλύψει κρίσιμα τρωτά σημεία για να δώσει στους πελάτες χρόνο να ασφαλίσουν τις συσκευές τους προτού οι φορείς απειλών τις αναθεωρήσουν για να δημιουργήσουν εκμεταλλεύσεις.
“Η έρευνά μας διαπίστωσε ότι ένα ζήτημα (FG-IR-23-097) μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε περιορισμένο αριθμό περιπτώσεων και συνεργαζόμαστε στενά με πελάτες για να παρακολουθήσουμε την κατάσταση,” Fortinet
είπε
σε έκθεση που δημοσιεύθηκε τη Δευτέρα.
«Για αυτόν τον λόγο, εάν ο πελάτης έχει ενεργοποιημένο το SSL-VPN, η Fortinet συμβουλεύει τους πελάτες να λάβουν άμεσα μέτρα για την αναβάθμιση στην πιο πρόσφατη έκδοση υλικολογισμικού.
“Εάν ο πελάτης δεν χρησιμοποιεί SSL-VPN, ο κίνδυνος αυτού του ζητήματος μετριάζεται – ωστόσο, η Fortinet εξακολουθεί να συνιστά αναβάθμιση.”
Περισσότερα από 250.000 τείχη προστασίας Fortigate εκτίθενται στο Διαδίκτυο, σύμφωνα με
Shodan
και είναι πολύ πιθανό ότι ένας σημαντικός αριθμός είναι επί του παρόντος ευάλωτος σε επιθέσεις, δεδομένου ότι αυτό το σφάλμα επηρεάζει όλες τις προηγούμενες εκδόσεις υλικολογισμικού.
Συνδέσεις Volt Typhoon
Αν και δεν συνδέθηκε με τις επιθέσεις Volt Typhoon που αποκαλύφθηκαν πρόσφατα με στόχο οργανώσεις υποδομής ζωτικής σημασίας σε όλες τις Ηνωμένες Πολιτείες, το Fortinet ανέφερε την πιθανότητα η κινεζική ομάδα κυβερνοκατασκοπείας να στοχεύσει επίσης το ελάττωμα CVE-2023-27997.
“Αυτή τη στιγμή δεν συνδέουμε το FG-IR-23-097 με την εκστρατεία Volt Typhoon, ωστόσο η Fortinet αναμένει από όλους τους παράγοντες απειλών, συμπεριλαμβανομένων εκείνων που βρίσκονται πίσω από την εκστρατεία Volt Typhoon, να συνεχίσουν να εκμεταλλεύονται μη επιδιορθωμένα τρωτά σημεία σε ευρέως χρησιμοποιούμενο λογισμικό και συσκευές.” είπε η εταιρεία.
«Για αυτόν τον λόγο, η Fortinet προτρέπει τον άμεσο και συνεχή μετριασμό μέσω μιας επιθετικής εκστρατείας επιδιόρθωσης».
Το Volt Typhoon είναι γνωστό για την εισβολή σε συσκευές Fortinet FortiGuard που είναι εκτεθειμένες στο Διαδίκτυο μέσω μιας άγνωστης ευπάθειας zero-day για να αποκτήσει πρόσβαση στα δίκτυα των οργανισμών σε ένα ευρύ φάσμα κρίσιμων τομέων.
Οι φορείς απειλών χρησιμοποιούν επίσης παραβιασμένους δρομολογητές, τείχη προστασίας και συσκευές VPN από πολλούς προμηθευτές για να αποφύγουν τον εντοπισμό διασφαλίζοντας ότι η κακόβουλη δραστηριότητά τους συνδυάζεται με τη νόμιμη κυκλοφορία δικτύου.
Η Fortinet δήλωσε σήμερα ότι στοχεύει κυρίως συσκευές που δεν έχουν επιδιορθωθεί
CVE-2022-40684
μια ευπάθεια παράκαμψης ελέγχου ταυτότητας σε συσκευές FortiOS / FortiProxy / FortiSwitchManager, για αρχική πρόσβαση.
Ωστόσο, όπως αναφέρθηκε προηγουμένως, οι παράγοντες της απειλής αναμένεται να αρχίσουν επίσης να κάνουν κατάχρηση νέων τρωτών σημείων, όπως αποκαλύπτονται.
