Fortinet ha lanzado nuevas actualizaciones de firmware de Fortigate que corrigen una vulnerabilidad crítica no revelada de ejecución remota de código de autenticación previa en dispositivos SSL VPN.
Nueva vulnerabilidad crítica en los firewall de Fortinet que afecta a la funcionalidad de SSL-VPN CVE-2023-27997. Se ha apodado «XORtigate». Las correcciones de seguridad se publicaron el viernes en las versiones de firmware de FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 y 7.2.5.
Si bien no se menciona en las notas de la versión, los profesionales de seguridad y los administradores han insinuado que las actualizaciones corrigieron silenciosamente una vulnerabilidad crítica SSL-VPN RCE que se divulgaría el martes 13 de junio de 2023.
Hoy lunes, Fortinet publicó el Aviso PSIRT crítico de CVSS (FG-IR-23-097 / CVE-2023-27997) junto con varias otras correcciones relacionadas con SSL-VPN. Este post agrega contexto a ese aviso, y brinda una perspectiva en relación con eventos recientes que involucran actividades de actores malintencionados.
«La falla permitiría que un atacante interfiriera a través de la VPN, incluso si la MFA está activado», se lee en un aviso de la firma francesa de ciberseguridad Olympe Cyberdefense. «A la fecha, todas las versiones estarían afectadas, estamos esperando el lanzamiento del CVE el 13 de junio de 2023 para confirmar esta información».
Por esta razón, si el cliente tiene habilitado SSL-VPN, Fortinet recomienda a los clientes que tomen medidas inmediatas para actualizar a la versión de firmware más reciente. Si el cliente no está operando SSL-VPN, el riesgo de este problema se mitiga; sin embargo, Fortinet aún recomienda actualizar.
Se sabe que Fortinet lanza parches de seguridad antes de revelar vulnerabilidades críticas para dar a los clientes tiempo para actualizar sus dispositivos antes de que los actores de amenazas realicen ingeniería inversa de los parches.
Hoy, el investigador de vulnerabilidades de Lexfo Security, Charles Fol, reveló información adicional, quien le dijo a BleepingComputer que las nuevas actualizaciones de FortiOS incluyen una solución para una vulnerabilidad crítica de RCE CVE-2023-27997 descubierta por él y Rioru.
«Fortinet publicó un parche para CVE-2023-27997, la vulnerabilidad de ejecución remota de código @DDXhunter y yo informamos», se lee en un tweet de Fol.
La naturaleza exacta de la vulnerabilidad es públicamente desconocida (hasta ahora). Según Olympe Cyberdefense, Fortinet publicará más detalles el póximo martes 13 de junio.
Actualización 15/06: se ha publicado la PoC para la vulnerabilidad.
Se confirmó a BleepingComputer que esto debería considerarse un parche urgente para los administradores de Fortinet, ya que es probable que los actores de amenazas lo analicen y descubran rápidamente.
Según una búsqueda de Shodan, se puede acceder a más de 250.000 firewalls Fortigate desde Internet y, dado que este error afecta a todas las versiones anteriores, es probable que la mayoría estén expuestos.
Por lo tanto, los administradores deben aplicar las actualizaciones de seguridad de Fortinet tan pronto como estén disponibles.
Aclaraciones sobre la campaña Volt Typhoon
La investigación de Fortinet encontró que un problema (FG-IR-23-097) puede haber sido explotado en un número limitado de casos.
La campaña Volt Typhoon utiliza una variedad de tácticas, técnicas y procedimientos (TTP) para obtener acceso a las redes, incluida una técnica ampliamente utilizada conocida como «living off the land». para evadir la detección.
La campaña parece usar vulnerabilidades para las que existen parches, principalmente FG-IR-22-377 / CVE-2022-40684 para el acceso inicial, como indicadores de compromiso: nombre de cuentas de administrador «fortinet-tech-support» y «fortigate-tech-support» se encontraron en los dispositivos de los clientes relacionados con esta campaña.
Fuente y redacción: segu-info.com.ar