A Fortinet emitiu na sexta-feira novas atualizações de firmware que corrigem uma vulnerabilidade crítica de execução remota de código (RCE) pré-autenticação não divulgada em seus dispositivos Fortigate SSL-VPN.
Em uma postagem recente no blog, os pesquisadores franceses Olympe Cyberdefense disseram que a falha permitiria que um “agente hostil interferisse por meio da VPN, mesmo que a autenticação multifator fosse ativada”.
Os pesquisadores disseram que patches foram emitidos no firmware do FortiOS para as seguintes versões: 7.0.12, 7.2.5, 6.4.13 e 6.2.15 — e que aguardam mais detalhes serem divulgados amanhã, 13 de junho.
A Fortinet tem uma prática geral de lançar patches de segurança antes de divulgar vulnerabilidades críticas para dar aos seus clientes tempo para corrigir antes que os agentes de ameaças se apropriem das informações.
Em 11 de junho, o pesquisador de segurança da Lexfor Charles Fol publicou um texto confirmando a falha, dizendo que a Fortinet publicou um patch para CVE-2023-27997, que foi reservado pela Fortinet com o MITRE. Fol disse que era um RCE que é acessível pré-autenticação em todos os dispositivos Fortinet SSL-VPN e aconselhou a aplicação de patches imediatamente.
A Fortinet teve que responder a uma série de vulnerabilidades recentes, e aqui está outro bom exemplo, disse Mike Parkin, engenheiro técnico sênior da Vulcan Cyber. Parkin disse que, embora não seja incomum lançar um patch para corrigir uma vulnerabilidade antes de admitir publicamente que ela existe, ainda não está claro se ela foi explorada na natureza ou mesmo conhecida além da pesquisa inicial. Ele acrescentou que, embora os pesquisadores tenham sido capazes de criar uma prova de conceito (PoC), isso nem sempre se traduz em uma exploração armada.
“Dito isso, uma vez que a PoC seja tornada pública, é certo que os agentes de ameaças tentarão criar seu próprio ataque para alavancar a exploração, o que significa que os usuários da Fortinet precisam corrigir seus sistemas assim que os patches estiverem disponíveis”, disse Parkin. “Espero que eles divulguem mais detalhes assim que o CVE passar da fase reservada. No entanto, ainda não se sabe se isso é suficiente para replicar o trabalho dos pesquisadores e gerar outra PoC. Os próprios CVEs costumam ser leves em detalhes, então estou mais interessado em ver se a pesquisa é liberada depois que o CVE publica oficialmente.”
Os administradores estão relutantes em corrigir dispositivos de rede rapidamente, especialmente dispositivos de rede como esses, disse John Bambenek, principal caçador de ameaças da Netenrich.
“Liberar o patch antes do CVE acomoda parte do atraso para que a proteção possa estar em vigor antes que a comunidade mais ampla de agentes de ameaças esteja ciente da vulnerabilidade e comece a explorá-la”, disse Bambenek.
Zach Hanley, engenheiro-chefe de ataques da Horizon3.ai, explicou que, embora sua equipe ainda não tenha analisado pessoalmente a causa raiz, eles entendem que é uma vulnerabilidade baseada em heap. Hanley disse que isso significa que a exploração será mais complicada em escala porque os invasores precisam adaptar o exploit para cada versão do dispositivo Fortinet atingida pela falha.
“Eu não esperaria que essa vulnerabilidade atingisse a exploração em massa, mas, em vez disso, veremos ataques muito direcionados a organizações de alto valor”, disse Hanley. “As organizações que têm propensão a pagar por ransomware, ou aquelas que detêm muita propriedade intelectual, serão alvos prováveis.”
Um comunicado da Fortinet disse que a empresa publicou um comunicado PSIRT (FG-IR-23-097) em 12 de junho que detalhou os próximos passos recomendados em relação ao CVE-2023-27997.
“A Fortinet continua monitorando a situação e tem se comunicado proativamente aos clientes, instando-os fortemente a seguir imediatamente as orientações fornecidas para mitigar a vulnerabilidade usando as soluções alternativas fornecidas ou atualizando”, continuou o comunicado. “Como seguimento disso, compartilhamos detalhes e esclarecimentos adicionais para ajudar nossos clientes a tomar decisões informadas e baseadas em risco sobre CVE-2023-27997
No blog de segunda-feira, a Fortinet indicou que a vulnerabilidade direcionada aos dispositivos SSL-VPN pode ter sido explorada em um número limitado de casos. Na terça-feira, mais detalhes sobre CVE-2023-27997 foram divulgados e ele foi classificado pela Fortinet como uma gravidade crítica com uma pontuação CVSS de 9,8.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.