La vulnerabilidad es una ejecución remota de código con una puntuación de gravedad de 9,8 sobre 10 como resultado de un problema de desbordamiento de búfer basado en montón en FortiOS, el sistema operativo que conecta todos los componentes de red de Fortinet para integrarlos en la plataforma Security Fabric del proveedor.
CVE-2023-27997 es explotable y permite que un atacante no autenticado ejecute código de forma remota en dispositivos vulnerables con la interfaz SSL VPN expuesta en la web. En un aviso a mediados de junio, el proveedor advirtió que el problema podría haber sido explotado en ataques .
Fortinet abordó la vulnerabilidad el 11 de junio antes de revelarla públicamente, al lanzar las versiones de firmware de FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 y 7.2.5.
La empresa de soluciones de seguridad ofensiva Bishop Fox informó el viernes que, a pesar de los llamados a parchear, más de 300,000 dispositivos de firewall FortiGate aún son vulnerables a los ataques y accesibles a través de Internet público.
Los investigadores de Bishop Fox utilizaron el motor de búsqueda Shodan para encontrar dispositivos que respondieran de una manera que indicara una interfaz VPN SSL expuesta. Lo lograron buscando dispositivos que devolvieran un encabezado de respuesta HTTP específico.
Filtraron los resultados a aquellos que redirigieron a '/remote/login', una clara indicación de una interfaz SSL VPN expuesta.
La consulta anterior mostró 489 337 dispositivos, pero no todos eran vulnerables a CVE-2023-27997, también conocido como Xortigate. Investigando más a fondo, los investigadores descubrieron que 153.414 de los dispositivos descubiertos se habían actualizado a una versión segura de FortiOS.
Esto significa que aproximadamente 335 900 de los firewalls FortiGate accesibles a través de la web son vulnerables a los ataques, un número que es significativamente más alto que la estimación reciente de 250 000 basada en otras consultas menos precisas, dicen los investigadores de Bishop Fox.
Otro descubrimiento que hicieron los investigadores de Bishop Fox fue que muchos de los dispositivos FortiGate expuestos no recibieron una actualización durante los últimos ocho años, algunos de ellos ejecutan FortiOS 6, que llegó al final del soporte el año pasado el 29 de septiembre.
Estos dispositivos son vulnerables a varias fallas de gravedad crítica que tienen un código de explotación de prueba de concepto disponible públicamente.
Para demostrar que CVE-2023-27997 se puede usar para ejecutar código de forma remota en dispositivos vulnerables, Bishop Fox creó un exploit que permite "romper el montón, volver a conectarse a un servidor controlado por un atacante, descargar un binario BusyBox y abrir un shell interactivo". ."
“Este exploit sigue muy de cerca los pasos detallados en la publicación de blog original de Lexfo […] y se ejecuta en aproximadamente un segundo, que es significativamente más rápido que el video de demostración en un dispositivo de 64 bits mostrado por Lexfo”, señala el obispo Fox en su informe .