Spoločnosť Fortinet opravila kritickú zraniteľnosť svojho zariadenia FortiGate (NGFW). Kritická zraniteľnosť umožňuje neautentifikovanému útočníkovi vzdialené vykonávanie kódu a príkazov. Používatelia dotknutých bezpečnostných produktov by mali bezodkladne aktualizovať ich firmvér. Pokiaľ to nie je možné, napríklad z dôvodu vypršania podpory zariadenia, odporúča sa zariadenie úplne vypnúť vzhľadom k mimoriadnemu bezpečnostnému riziku.
Zraniteľné systémy:
FortiOS-6K7K verzie 6.0.10, 6.0.12 – 6.0.16
FortiOS-6K7K verzie 6.2.4, 6.2.6, 6.2.7, 6.2.9 – 6.2.13
FortiOS-6K7K verzie 6.4.2, 6.4.6, 6.4.8, 6.4.10, 6.4.12
FortiOS-6K7K verzie 7.0.5, 7.0.10
FortiOS 6.0.0 – 6.0.16
FortiOS 6.2.0 – 6.2.13
FortiOS 6.4.0 – 6.4.12
FortiOS 7.0.0 – 7.0.11
FortiOS 7.2.0 – 7.2.4
FortiProxy 1.1.0 – 1.1.6
FortiProxy 1.2.0 – 1.2.13
FortiProxy verzie 2.0.0 – 2.0.12
FortiProxy verzie 7.2.0 – 7.2.3
FortiProxy verzie 7.0.0 – 7.0.9
Opis činnosti:
CVE-2023-27997 (CVSS skóre 9,8)
Spoločnosť Fortinet opravila kritickú zraniteľnosť pomenovanú XORtigate, ktorá spočíva v pretečení vyrovnávacej pamäte na halde, v produktoch FortiOS a FortiProxy (Secure web gateway). Spoločnosť uviedla, že XORtigate, ovplyvňuje všetky zariadenia Fortinet – Fortigate so službou SSL-VPN. Potenciálny vzdialený a neoverený útočník by mohol zraniteľnosť zneužiť na vzdialené vykonávanie kódu či príkazov pomocou špeciálne vytvorených požiadaviek. Dôsledkom môže byť prevzatie kontroly nad zariadením a následná kompromitácia siete organizácie, aj napriek používaniu MFA (viacfaktorovej autentifikácie).
Podľa dostupných informácií bola zraniteľnosť aktívne zneužívaná pred vydaním opravnej aktualizácie. Zraniteľnosť mala byť objavená v rámci auditu kódu paralelne so zraniteľnosťou CVE-1011-42475 (CVSS 9.3) v decembri 2022. Objavili ju Charles Fol a Dany Bach, bezpečnostní výskumníci z francúzskej ofenzívnej IT bezpečnostnej spoločnosti Lexfo. Podľa výskumníkov sú cieľom vládne organizácie, výrobný sektor a kritická infraštruktúra.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Narušenie dôvernosti
- Vzdialené vykonávanie kódu
- Kompromitácia infraštruktúry organizácie
Odporúčania:
Bezodkladná aktualizácia FortiOS a FortiOS-6K7K aspoň na verzie 6.0.17, 6.2.15, 6.4.13, 7.0.12 alebo 7.2.5, FortiProxy na 2.0.13, 7.0.10 alebo 7.2.4.
Odporúčame tiež nasadiť hardening https://docs.fortinet.com/document/fortigate/7.2.0/best-practices/555436/hardening
Odkazy:
https://thehackernews.com/2023/06/critical-rce-flaw-discovered-in.html
https://thehackernews.com/2023/06/critical-fortios-and-fortiproxy.html
https://nvd.nist.gov/vuln/detail/CVE-2023-27997
https://www.securityweek.com/fortinet-patches-critical-fortigate-ssl-vpn-vulnerability/
https://www.fortiguard.com/psirt/FG-IR-23-097
https://blog.lexfo.fr/Forensics-xortigate-notice.html
https://labs.watchtowr.com/xortigate-or-cve-2023-27997/
Zdroj: csirt.gov.sk