Fortinet ha lanzado nuevas actualizaciones de firmware de Fortigate que
corrigen una vulnerabilidad crítica no revelada de ejecución remota de
código de autenticación previa en dispositivos SSL VPN.
Nueva vulnerabilidad crítica en los firewall de Fortinet que afecta a la funcionalidad de SSL-VPN CVE-2023-27997. Se ha apodado «XORtigate». Las correcciones de seguridad se publicaron el viernes en las versiones de
firmware de FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 y 7.2.5.
Si bien no se menciona en las notas de la versión, los profesionales de
seguridad y los administradores
han insinuado
que las actualizaciones corrigieron silenciosamente
una vulnerabilidad crítica SSL-VPN RCE que se divulgaría el martes 13 de
junio de 2023.
Hoy lunes, Fortinet publicó el
Aviso PSIRT crítico de CVSS (FG-IR-23-097 / CVE-2023-27997)
junto con varias otras correcciones relacionadas con SSL-VPN. Este
post agrega contexto a ese aviso, y brinda una perspectiva en relación con eventos recientes que involucran
actividades de actores malintencionados.
«La falla permitiría que un atacante interfiriera a través de la VPN,
incluso si la MFA está activado», se lee en
un aviso
de la firma francesa de ciberseguridad Olympe Cyberdefense.
«A la fecha, todas las versiones estarían afectadas, estamos esperando el
lanzamiento del CVE el 13 de junio de 2023 para confirmar esta
información».
a los clientes que tomen medidas inmediatas para actualizar a la versión de
firmware más reciente. Si el cliente no está operando SSL-VPN, el riesgo de
este problema se mitiga; sin embargo, Fortinet aún recomienda actualizar.
Se sabe que
Fortinet lanza parches de seguridad antes de revelar vulnerabilidades
críticas
para dar a los clientes tiempo para actualizar sus dispositivos antes de que
los actores de amenazas realicen ingeniería inversa de los parches.
Hoy, el investigador de vulnerabilidades de
Lexfo Security,
Charles Fol, reveló información adicional, quien le dijo a BleepingComputer que las
nuevas actualizaciones de FortiOS incluyen una solución para una
vulnerabilidad crítica de RCE CVE-2023-27997 descubierta por él y
Rioru.
«Fortinet publicó un parche para CVE-2023-27997, la vulnerabilidad de
ejecución remota de código @DDXhunter y yo informamos», se lee en
un tweet de Fol.
La naturaleza exacta de la vulnerabilidad es públicamente desconocida (hasta). Según Olympe Cyberdefense, Fortinet publicará más detalles el póximo
ahora
martes 13 de junio.
Actualización 15/06: se ha publicado la PoC para la vulnerabilidad.
Se
confirmó a BleepingComputer
que esto debería considerarse un parche urgente para los administradores de
Fortinet, ya que es probable que los actores de amenazas lo analicen y
descubran rápidamente.
Según una
búsqueda de Shodan, se puede acceder a más de 250.000 firewalls Fortigate desde Internet y,
dado que este error afecta a todas las versiones anteriores, es probable que
la mayoría estén expuestos.
Por lo tanto, los administradores deben aplicar las actualizaciones de
seguridad de Fortinet tan pronto como estén disponibles.
Aclaraciones sobre la campaña Volt Typhoon
La investigación de Fortinet encontró que un problema (FG-IR-23-097) puede
haber sido explotado en un número limitado de casos.
La campaña Volt Typhoon utiliza una variedad de tácticas, técnicas y
procedimientos (TTP) para obtener acceso a las redes, incluida una técnica
ampliamente utilizada conocida como «living off the land». para evadir
la detección.
La campaña parece usar vulnerabilidades para las que existen
parches, principalmente FG-IR-22-377 / CVE-2022-40684 para el acceso inicial, como indicadores de compromiso: nombre de
cuentas de administrador «fortinet-tech-support» y
«fortigate-tech-support» se encontraron en los dispositivos de los
clientes relacionados con esta campaña.
Los comentarios están cerrados.