Una ricerca veloce su Shodan rivela che da Internet è possibile raggiungere oltre 250.000 firewall Fortigate e poiché questo bug riguarda tutte le versioni precedenti, la maggior parte di questi famosi appliance è probabilmente esposta.
Fortinet ha rilasciato aggiornamenti del firmware per i suoi dispositivi Fortigate, affrontando una vulnerabilità critica di esecuzione di codice remoto (RCE) di pre-autenticazione nei dispositivi SSL VPN.
Le patch di sicurezza sono state implementate venerdì per le versioni del firmware FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 e 7.2.5.
Sebbene le note di rilascio non menzionassero la vulnerabilità, i professionisti della sicurezza e gli amministratori hanno suggerito che gli aggiornamenti risolvano una vulnerabilità RCE SSL-VPN critica e non divulgata che verrà emessa martedì 13 giugno 2023.
Un avviso della società francese di sicurezza informatica Olympe Cyberdefense ha dichiarato: “Il difetto consentirebbe a un agente ostile di interferire tramite la VPN, anche se l’MFA è attivato”. L’avviso ha anche menzionato che tutte le versioni sono probabilmente interessate, con conferma prevista al rilascio del CVE il 13 giugno 2023.
Fortinet è noto per il rilascio di patch di sicurezza prima di rivelare vulnerabilità critiche, fornendo ai clienti il tempo di aggiornare i propri dispositivi prima che gli attori delle minacce possano creare exploit.
Charles Fol, un ricercatore di vulnerabilità, ha rivelato ulteriori informazioni, affermando che i nuovi aggiornamenti di FortiOS includono una correzione per una vulnerabilità RCE critica scoperta da lui e Rioru.
In un tweet, Fol ha condiviso: “Fortinet ha pubblicato una patch per il CVE-2023-27997, la vulnerabilità di Remote Code Execution che @DDXhunter e io abbiamo segnalato. Questa è in pre-autenticazione, su ogni appliance VPN SSL. Aggiorna il tuo Fortigate. Dettagli in un più tardi. #xortigate”. Fol ha confermato che questa dovrebbe essere considerata una patch urgente per gli amministratori di Fortinet, poiché è probabile che gli attori delle minacce analizzino e scoprano rapidamente la vulnerabilità.
I dispositivi Fortinet sono tra i dispositivi firewall e VPN più popolari sul mercato, il che li rende un obiettivo primario per gli attacchi.
In passato, i difetti SSL-VPN sono stati sfruttati dagli attori delle minacce pochi giorni dopo il rilascio delle patch, spesso utilizzati per ottenere l’accesso iniziale alle reti per il furto di dati e gli attacchi ransomware.
Di conseguenza, gli amministratori devono applicare gli aggiornamenti di sicurezza Fortinet non appena diventano disponibili.
Fortinet a contattato Red Hot Cyber rilasciando il seguente commento: “Il 12 giugno abbiamo pubblicato un avviso PSIRT (FG-IR-23-097) che illustra in dettaglio i prossimi passi da compiere in relazione a CVE-2023-27997. Fortinet continua a monitorare la situazione e ha comunicato in modo proattivo ai clienti, invitandoli a seguire immediatamente le indicazioni fornite per mitigare la vulnerabilità utilizzando i workaround forniti o aggiornando. A seguito di ciò, abbiamo condiviso ulteriori dettagli e chiarimenti per aiutare i nostri clienti a prendere decisioni informate e basate sul rischio in merito a CVE-2022-27997 in questo blog. Per ulteriori informazioni, consultare il blog e l’advisory“.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cyber News
Cultura
Cultura
Innovazione