Когда обновление игнорируется: отказ от исправления оставляет 300 тысяч брандмауэров FortiGate под угрозой

Специалисты ИБ-компании Bishop Fox сообщают , что более 300 000 брандмауэров FortiGate подвержены критической уязвимости CVE-2023-27997 (CVSS: 9.8) несмотря на то, что Fortinet месяц назад выпустила обновление, устраняющее этот недостаток.

Уязвимость удаленного выполнения кода (Remote Code Execution, RCE) возникает из-за проблемы переполнения буфера кучи в FortiOS, операционной системе, которая соединяет все сетевые компоненты Fortinet для их интеграции в платформу Fortinet Security Fabric.

CVE-2023-27997 позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно выполнять код на уязвимых устройствах с интерфейсом SSL VPN, открытым в Интернете. Fortinet устранила уязвимость 11 июня, прежде чем публично раскрыть ее, выпустив версии прошивки FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5.

По данным Bishop Fox, несмотря на призывы к исправлению, более 300 000 межсетевых экранов FortiGate по-прежнему уязвимы для атак и доступны через Интернет.

Исследователи Bishop Fox использовали поисковую систему Shodan для поиска устройств, которые реагировали таким образом, что указывали на незащищенный интерфейс SSL VPN. Это достигалось путем поиска устройств, которые возвращали определенный заголовок ответа HTTP.

Эксперты отфильтровали результаты до тех, которые перенаправляли на «/remote/login», что является явным признаком открытого интерфейса SSL VPN. Таким образом исследователи обнаружили около 335 900 брандмауэров FortiGate, доступных через Интернет, которые уязвимы для атак.

Запрос Shodan, используемый для поиска незащищенных устройств

Специалисты Bishop Fox также выяснили, что многие из открытых устройств FortiGate не получали обновлений в течение последних 8-ми лет, некоторые из них работали под управлением FortiOS 6, поддержка которого закончилась 29 сентября 2022 года. Эти устройства уязвимы для нескольких критических уязвимостей, которые имеют общедоступный код эксплойта для проверки концепции (Proof of Concept, PoC).

Чтобы продемонстрировать, что CVE-2023-27997 можно использовать для удаленного выполнения кода на уязвимых устройствах, Bishop Fox создал эксплойт , который позволяет обратно подключаться к серверу злоумышленника, загружать двоичный файл BusyBox и открывать интерактивную оболочку.

Исследователи Bishop Fox рекомендуют пользователям FortiGate как можно скорее обновить свою прошивку до последней версии и отключить интерфейс SSL VPN, если он не используется.

7 марта 2023 года компания Fortinet выпустила обновления для системы безопасности , чтобы устранить критическую уязвимость под идентификатором CVE-2022-41328. Она позволяла злоумышленникам удалённо выполнять несанкционированный код в целевой системе. Атаки были направлены на компьютеры с устаревшей версией ПО и нацелены в первую очередь на крупные правительственные организации по всему миру. Вредоносная операция приводила к повреждению операционной системы и потере данных.