.
Os pesquisadores dizem que cerca de 336.000 dispositivos expostos à Internet permanecem vulneráveis a uma vulnerabilidade crítica em firewalls vendidos pela Fortinet porque os administradores ainda não instalaram os patches lançados pela empresa há três semanas.
CVE-2023-27997 é uma execução remota de código nas VPNs Fortigate, que estão incluídas nos firewalls da empresa. A vulnerabilidade, que decorre de um bug de estouro de heap, tem uma classificação de gravidade de 9,8 em 10. A Fortinet lançou atualizações silenciosamente corrigindo a falha em 8 de junho e a divulgou quatro dias depois em um comunicado que dizia que ela pode ter sido explorada em ataques direcionados. . No mesmo dia, a Administração de Segurança Cibernética e de Infraestrutura dos EUA o adicionou ao seu catálogo de vulnerabilidades exploradas conhecidas e deu às agências federais até terça-feira para corrigi-lo.
Apesar da gravidade e da disponibilidade de um patch, os administradores demoraram a consertá-lo, disseram os pesquisadores.
A empresa de segurança Bishop Fox na sexta-feira, citando dados recuperados de consultas do mecanismo de busca Shodan, disse que dos 489.337 dispositivos afetados expostos na Internet, 335.923 deles – ou 69% – permaneceram sem correção. Bishop Fox disse que algumas das máquinas vulneráveis pareciam estar executando o software Fortigate que não era atualizado desde 2015.
“Uau, parece que há um punhado de dispositivos executando o FortiOS de 8 anos na Internet”, escreveu Caleb Gross, diretor de desenvolvimento de recursos da Bishop Fox, no post de sexta-feira. “Eu não tocaria naqueles com uma vara de 3 metros.”
Gross relatou que Bishop Fox desenvolveu uma exploração para testar dispositivos de clientes.
A captura de tela acima mostra a exploração de prova de conceito corrompendo o heap, uma área protegida da memória do computador reservada para aplicativos em execução. A corrupção injeta um código malicioso que se conecta a um servidor controlado pelo invasor, baixa o utilitário BusyBox para sistemas operacionais semelhantes ao Unix e abre um shell interativo que permite que comandos sejam emitidos remotamente pela máquina vulnerável. A exploração requer apenas cerca de um segundo para ser concluída. A velocidade é uma melhoria em relação a um PoC Lexfo lançado em 13 de junho.
Nos últimos anos, vários produtos da Fortinet foram explorados ativamente. Em fevereiro, hackers de vários grupos de ameaças começaram a explorar uma vulnerabilidade crítica no FortiNAC, uma solução de controle de acesso à rede que identifica e monitora dispositivos conectados a uma rede. Um pesquisador disse que o direcionamento da vulnerabilidade, rastreada como CVE-2022-39952, levou à “instalação massiva de webshells” que deu aos hackers acesso remoto a sistemas comprometidos. Em dezembro passado, um agente de ameaça desconhecido explorou uma vulnerabilidade crítica diferente no FortiOS SSL-VPN para infectar o governo e organizações relacionadas ao governo com malware avançado feito sob medida. A Fortinet corrigiu discretamente a vulnerabilidade no final de novembro, mas não a divulgou até o início dos ataques in-the-wild. A empresa ainda não explicou por que ou disse qual é sua política para divulgar vulnerabilidades em seus produtos. E em 2021, um trio de vulnerabilidades no FortiOS VPN da Fortinet – dois corrigidos em 2019 e um um ano depois – foram alvo de invasores que tentavam acessar vários serviços governamentais, comerciais e de tecnologia.
Até agora, há poucos detalhes sobre as explorações ativas do CVE-2023-27997 que a Fortinet disse que podem estar em andamento. Volt Typhoon, o nome de rastreamento de um grupo de ameaças de língua chinesa, explorou ativamente o CVE-2023-40684, uma vulnerabilidade Fortigate separada de alta gravidade semelhante. A Fortinet disse em sua divulgação de 12 de junho que estaria de acordo com o Volt Typhoon para explorar o CVE-2023-27997, que a Fortinet rastreia sob a designação interna FG-IR-23-097.
“Neste momento, não estamos vinculando o FG-IR-23-097 à campanha Volt Typhoon, no entanto, a Fortinet espera que todos os agentes de ameaças, incluindo aqueles por trás da campanha Volt Typhoon, continuem a explorar vulnerabilidades não corrigidas em softwares e dispositivos amplamente usados.” Fortinet disse na época. Por esse motivo, a Fortinet pede mitigação imediata e contínua por meio de uma campanha agressiva de patches”.
Listagem de imagem por Getty Images
.
