Fortinet CVE-2023-27997
Kompanija Fortinet je objavila sigurnosna ažuriranja a novu kritičnu ranjivost koja utiče na Fortigate SSL–VPN mrežne barijere (eng. firewalls) koji rade na FortiOS ili FortiProxy platformama. Proizvođač još uvijek nije objavio detaljne informacije o prirodi ranjivosti CVE-2023-27997 / FG-IR-23-097, ali je ona dobila CVSSv3 ocjenu 9.2 i označena je kao ranjivost za neovlašteno daljinsko izvršavanje kôda (eng. remote code execution – RCE) na osnovu prelivanja međuspremnika (eng. buffer overflow). Primjetno je da čak ni autentifikacija u dva koraka ne pomaže u ublažavanju ove ranjivosti.
Fortinet CVE-2023-27997; Desing by: Saša Đurić
Uticaj ranjivosti
Po dostupnim informacijama preko 200.000 uređaja je dostupno na Internetu i vjerovatno ranjivo. Uz izvještaje koji ukazuju da je ova ranjivost možda već iskorištava u ograničenom broju slučajeva, vjerovatnoća dalje zloupotrebe je i dalje velika. Po informacijama dobijenim od proizvođača, sljedeće verzije FortiOS i FortiProxy uređaja su pogođene:
| FortiOS-6K7K | FortiOS | FortiOS |
| FortiOS-6K7K verzija 7.0.10 | FortiOS-6K7K verzija 6.0.10 | FortiProxy verzija 7.2.0 do 7.2.3 |
| FortiOS-6K7K verzija 7.0.10 | FortiOS verzija 7.2.0 do 7.2.4 | FortiProxy verzija 7.0.0 do 7.0.9 |
| FortiOS-6K7K verzija 6.4.12 | FortiOS verzija 7.0.0 do 7.0.11 | FortiProxy verzija 2.0.0 do 2.0.12 |
| FortiOS-6K7K verzija 6.4.10 | FortiOS verzija 6.4.0 do 6.4.12 | FortiProxy 1.2 sve verzije |
| FortiOS-6K7K verzija 6.4.8 | FortiOS verzija 6.2.0 do 6.2.13 | FortiProxy 1.2 sve verzije |
| FortiOS-6K7K verzija 6.4.6 | FortiOS verzija 6.0.0 do 6.0.16 | |
| FortiOS-6K7K verzija 6.4.2 | ||
| FortiOS-6K7K verzija 6.2.9 do 6.2.13 | ||
| FortiOS-6K7K verzija 6.2.6 do 6.2.7 | ||
| FortiOS-6K7K verzija 6.2.4 | ||
| FortiOS-6K7K verzija 6.0.12 do 6.0.16 |
Ranjivost CVE-2023-27997 je otkrivena tokom revizije kôda SSL-VPN modula nakon još jednog nedavnog skupa napada na vladine organizacije gdje je iskorištavana ranjivost nultog dana CVE-2022-42475 u FortiOS SSL-VPN uređajima.
“Naša istraga je otkrila da je jedan problem (FG-IR-23-097) možda iskorištavan u ograničenom broju slučajeva i mi blisko sarađujemo sa kupcima kako bismo pratili situaciju. Iz tog razloga, ako je korisniku omogućen SSL-VPN, Fortinet savjetuje klijente da odmah preduzmu mjere za nadogradnju na najnoviju verziju upravljačkog softvera. Ako korisnik ne koristi SSL-VPN, rizik od ovog problema je smanjen – međutim, Fortinet i dalje preporučuje nadogradnju.”
– Fortinet –
Ažuriranje
Kompanija Fortinet je objavila nova ažuriranja upravljačkog softvera koja popravljaju kritičnu ranjivost daljinskog izvršavanja koda pre autentifikacije na SSL–VPN uređajima, označenu kao CVE-2023-27997. Bezbjednosne ispravke objavljene su u verzijama upravljačkog softvera FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 i 7.2.5.
Kako bi ublažili posljedice ove ranjivosti korisnicima se preporučuju sljedeći koraci:
- Ažuriranje uređaja na najnoviju verziju.
- Ako uređaj nije moguće nadograditi, potrebno je onemogućiti SSL-VPN.
- Provjeriti okruženje u potrazi za tragovima iskorištavanja prethodnih ranjivosti, kao što je FG-IR-22-377 / CVE-2022-40684.
- Pratiti uputstvo proizvođača za primjenu preporučenih bezbjednosnih podešavanja.
- Onemogućiti funkcije uređaja koje se ne koriste.
Zaključak
Fortinet uređaji su neki od najpopularnijih mrežnih barijera i VPN uređaja na tržištu, što ih čini popularnom metom za napade, zbog toga administratori moraju primijeniti bezbjednosna ažuriranja čim postanu dostupna. Iako nije dostupno puno informacija, ranjivost za neovlašteno daljinsko izvršavanje kôda predstavlja značajan rizik za preko 200.000 izloženih uređaja. zbog toga bi korisnici trebalo da primjene bezbjednosna ažuriranja čim postanu dostupna.
