研究人员已经为 Fortinet 的 FortiGate SSL VPN 中的一个关键远程代码执行 (RCE) 漏洞编写了漏洞利用代码,该漏洞是供应商于 2023 年 XNUMX 月披露并修补的。
开发该漏洞的 Bishop Fox 的研究团队估计,约有 340,000 台受影响的 FortiGate 设备目前尚未针对该漏洞打补丁,仍然容易受到攻击。 这个数字远高于一些研究人员估计的 250,000 个 FortiGate 设备在 Fortinet 首次披露 12 月 XNUMX 日的缺陷。
代码未公开发布——但有一个 GIF
Bishop Fox 的能力开发总监 Caleb Gross 在 490,000 月 69 日的博客文章中写道:“互联网上暴露了 30 个受影响的 [FortiGate] SSL VPN 接口,其中大约 XNUMX% 目前尚未打补丁。”现在是你的了。”
基于堆的缓冲区溢出漏洞(编号为 CVE-2023-27997)影响多个版本的 FortiOS 和 FortiProxy SSL-VPN 软件。 它为未经身份验证的远程攻击者提供了一种在受影响的设备上执行任意代码并完全控制该设备的方法。 发现该缺陷的法国网络安全公司 Lexfo 的研究人员将其评估为 影响每一个 SSL VPN 运行 FortiOS 的设备。
Bishop Fox 尚未公开发布其漏洞利用代码。 但它的博客文章中有一个正在使用的 GIF。 格罗斯描述了这一漏洞 福克斯主教开发了 为攻击者提供了一种打开交互式 shell 的方法,他们可以用它来与受影响的 FortiGate 设备进行通信。
Gross 写道:“此漏洞利用非常严格地遵循 Lexfo 原始博客文章中详细说明的步骤,尽管我们必须采取该文章中未提及的一些额外步骤。” “该漏洞的运行时间约为一秒,这比 Lexfo 展示的 64 位设备上的演示视频要快得多。”
Fortinet 发布固件更新 该公司于 12 月 XNUMX 日解决了该问题。当时,该公司表示该缺陷影响了政府、制造业和其他关键基础设施部门的组织。 Fortinet 表示,它知道攻击者在有限的情况下利用了该漏洞。
Fortinet 警告称,Volt Typhoon 网络间谍活动背后的威胁行为者有可能滥用 CVE-2023-27997。 Volt Typhoon 是一个总部位于中国的组织,据信该组织对美国电信公司和其他关键基础设施组织的网络进行了持续访问,以窃取敏感数据并执行其他恶意活动。 到目前为止,该活动主要利用了另一个较旧的 Fortinet 缺陷(CVE-2022-40684) 用于初始访问。 但 Fortinet 警告称,各组织也不应低估 Volt Typhoon 和其他威胁行为者使用 CVE-2023-27997 的可能性。
为什么安全设备成为热门目标
CVE-2023-27997 是已曝光的众多严重 Fortinet 漏洞之一。 与几乎所有其他防火墙和 VPN 供应商一样,Fortinet 的设备因其提供对企业网络的访问而成为攻击者的热门目标。
美国网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和其他机构近年来发布了多项建议,要求组织及时解决这些和其他网络设备中的漏洞,因为攻击者对这些设备的兴趣很高他们。
以 2022 年 XNUMX 月为例, CISA 警告中国支持的威胁行为者 积极针对来自众多供应商的网络设备中未修补的漏洞。 该通报列出了这些最常见的漏洞。 该列表包括 Fortinet、Cisco、Citrix、Netgear、Pulse、QNAP 和 Zyxel 产品中的漏洞。
Tanium 首席安全顾问 Timothy Morris 表示,系统管理员应该尽快修补,尽管在处理运行应用程序网关的设备时修补固件可能会比较麻烦。 通常,诸如 Fortinet 之类的设备面向周边,并且具有非常高的可用性要求,这意味着它们的更改窗口很紧。
“对于大多数组织来说,一定程度的停机可能是不可避免的,”莫里斯说。 他补充道,诸如 CVE-2023-27997 之类的漏洞需要重新加载完整的固件映像,因此需要一定的时间和风险。 “必须备份和恢复配置,以确保它们按预期工作。”
