Spoločnosť Fortinet opravila kritickú zraniteľnosť svojho zariadenia FortiGate (NGFW). Kritická zraniteľnosť umožňuje neautentifikovanému útočníkovi vzdialené vykonávanie kódu a príkazov. Používatelia dotknutých bezpečnostných produktov by mali bezodkladne aktualizovať ich firmvér. Pokiaľ to nie je možné, napríklad z dôvodu vypršania podpory zariadenia, odporúča sa zariadenie úplne vypnúť vzhľadom k mimoriadnemu bezpečnostnému riziku.

Zraniteľné systémy:

FortiOS-6K7K verzie 6.0.10, 6.0.12 – 6.0.16
FortiOS-6K7K verzie 6.2.4, 6.2.6, 6.2.7, 6.2.9 – 6.2.13
FortiOS-6K7K verzie 6.4.2, 6.4.6, 6.4.8, 6.4.10, 6.4.12
FortiOS-6K7K verzie 7.0.5, 7.0.10
FortiOS 6.0.0 – 6.0.16
FortiOS 6.2.0 – 6.2.13
FortiOS 6.4.0 – 6.4.12
FortiOS 7.0.0 – 7.0.11
FortiOS 7.2.0 – 7.2.4
FortiProxy 1.1.0 – 1.1.6
FortiProxy 1.2.0 – 1.2.13
FortiProxy verzie 2.0.0 – 2.0.12
FortiProxy verzie 7.2.0 – 7.2.3
FortiProxy verzie 7.0.0 – 7.0.9

Opis činnosti:

CVE-2023-27997 (CVSS skóre 9,8)

Spoločnosť Fortinet opravila kritickú zraniteľnosť pomenovanú XORtigate, ktorá spočíva v pretečení vyrovnávacej pamäte na halde, v produktoch FortiOS FortiProxy (Secure web gateway). Spoločnosť uviedla, že XORtigate, ovplyvňuje všetky zariadenia Fortinet – Fortigate so službou SSL-VPN. Potenciálny vzdialený a neoverený útočník by mohol zraniteľnosť zneužiť na vzdialené vykonávanie kódu či príkazov pomocou špeciálne vytvorených požiadaviek. Dôsledkom môže byť prevzatie kontroly nad zariadením a následná kompromitácia siete organizácie, aj napriek používaniu MFA (viacfaktorovej autentifikácie).

Podľa dostupných informácií bola zraniteľnosť aktívne zneužívaná pred vydaním opravnej aktualizácie. Zraniteľnosť mala byť objavená v rámci auditu kódu paralelne so zraniteľnosťou CVE-1011-42475 (CVSS 9.3) v decembri 2022.
 Objavili ju Charles Fol a Dany Bach, bezpečnostní výskumníci z francúzskej ofenzívnej IT bezpečnostnej spoločnosti Lexfo. Podľa výskumníkov sú cieľom vládne organizácie, výrobný sektor a kritická infraštruktúra.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Narušenie dôvernosti
  • Vzdialené vykonávanie kódu
  • Kompromitácia infraštruktúry organizácie

Odporúčania:

Bezodkladná aktualizácia FortiOS a FortiOS-6K7K aspoň na verzie 6.0.17, 6.2.15, 6.4.13, 7.0.12 alebo 7.2.5, FortiProxy na 2.0.13, 7.0.10 alebo 7.2.4.

Odporúčame tiež nasadiť hardening https://docs.fortinet.com/document/fortigate/7.2.0/best-practices/555436/hardening

Odkazy:

https://thehackernews.com/2023/06/critical-rce-flaw-discovered-in.html

https://thehackernews.com/2023/06/critical-fortios-and-fortiproxy.html

https://nvd.nist.gov/vuln/detail/CVE-2023-27997

https://www.securityweek.com/fortinet-patches-critical-fortigate-ssl-vpn-vulnerability/

https://www.fortiguard.com/psirt/FG-IR-23-097

https://blog.lexfo.fr/Forensics-xortigate-notice.html

https://labs.watchtowr.com/xortigate-or-cve-2023-27997/

Zdroj: csirt.gov.sk