Los investigadores dicen que casi 336 000 dispositivos expuestos a Internet siguen siendo vulnerables a una vulnerabilidad crítica en los firewalls vendidos por Fortinet porque los administradores aún tienen que instalar los parches que la empresa lanzó hace tres semanas.
CVE-2023-27997 es una ejecución remota de código en las VPN de Fortigate, que se incluyen en los firewalls de la empresa. La vulnerabilidad, que se deriva de un error de desbordamiento de pila, tiene una calificación de gravedad de 9,8 sobre 10. Fortinet lanzó actualizaciones silenciosas que corrigieron la falla el 8 de junio y lo reveló cuatro días después en un aviso que decía que podría haber sido explotado en ataques dirigidos. . Ese mismo día, la Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU. lo agregó a su catálogo de vulnerabilidades explotadas conocidas y le dio a las agencias federales hasta el martes para parchearlo.
A pesar de la gravedad y la disponibilidad de un parche, los administradores han tardado en solucionarlo, dijeron los investigadores.
El viernes, la firma de seguridad Bishop Fox, citando datos obtenidos de las consultas del motor de búsqueda Shodan, dijo que de 489,337 dispositivos afectados expuestos en Internet, 335,923 de ellos, o el 69 por ciento, permanecieron sin parchear. Bishop Fox dijo que algunas de las máquinas vulnerables parecían estar ejecutando el software Fortigate que no se había actualizado desde 2015.
“Vaya, parece que hay un puñado de dispositivos que ejecutan FortiOS de 8 años en Internet”, escribió Caleb Gross, director de desarrollo de capacidades de Bishop Fox, en la publicación del viernes. “No los tocaría ni con un poste de 10 pies”.
Gross informó que Bishop Fox ha desarrollado un exploit para probar los dispositivos de los clientes.
La captura de pantalla anterior muestra el exploit de prueba de concepto que corrompe el montón, un área protegida de la memoria de la computadora que está reservada para ejecutar aplicaciones. La corrupción inyecta un código malicioso que se conecta a un servidor controlado por un atacante, descarga la utilidad BusyBox para sistemas operativos similares a Unix y abre un shell interactivo que permite que la máquina vulnerable emita comandos de forma remota. El exploit requiere solo alrededor de un segundo para completarse. La velocidad es una mejora con respecto a un PoC Lexfo lanzado el 13 de junio.
En los últimos años, varios productos de Fortinet han estado bajo explotación activa. En febrero, los piratas informáticos de varios grupos de amenazas comenzaron a explotar una vulnerabilidad crítica en FortiNAC, una solución de control de acceso a la red que identifica y monitorea los dispositivos conectados a una red. Un investigador dijo que el objetivo de la vulnerabilidad, rastreada como CVE-2022-39952, condujo a la «instalación masiva de webshells» que les dio a los piratas informáticos acceso remoto a los sistemas comprometidos. En diciembre pasado, un actor de amenazas desconocido explotó una vulnerabilidad crítica diferente en FortiOS SSL-VPN para infectar organizaciones gubernamentales y relacionadas con el gobierno con malware avanzado hecho a medida. Fortinet arregló silenciosamente la vulnerabilidad a fines de noviembre, pero no la reveló hasta después de que comenzaron los ataques en estado salvaje. La compañía aún tiene que explicar por qué o decir cuál es su política para revelar vulnerabilidades en sus productos. Y en 2021, un trío de vulnerabilidades en FortiOS VPN de Fortinet, dos parcheadas en 2019 y una un año después, fueron atacadas por atacantes que intentaban acceder a múltiples servicios gubernamentales, comerciales y tecnológicos.
Hasta el momento, hay pocos detalles sobre las vulnerabilidades activas de CVE-2023-27997 que, según Fortinet, pueden estar en marcha. Volt Typhoon, el nombre de seguimiento de un grupo de amenazas de habla china, ha explotado activamente CVE-2023-40684, una vulnerabilidad separada de Fortigate de similar gravedad. Fortinet dijo en su divulgación del 12 de junio que estaría de acuerdo con Volt Typhoon para pasar a explotar CVE-2023-27997, que Fortinet rastrea bajo la designación interna FG-IR-23-097.
«En este momento no estamos vinculando FG-IR-23-097 con la campaña Volt Typhoon, sin embargo, Fortinet espera que todos los actores de amenazas, incluidos los que están detrás de la campaña Volt Typhoon, continúen explotando vulnerabilidades sin parches en software y dispositivos ampliamente utilizados». Fortinet dijo en ese momento. Por esta razón, Fortinet insta a la mitigación inmediata y continua a través de una campaña agresiva de parches”.
Imagen del listado por Getty Images