Nieuwe bevindingen suggereren dat Fortigate firewalls risico lopen op aanvallen met remote code execution (RCE). Maar liefst 490.000 SSL VPN interfaces gekoppeld aan deze firewalls zijn online toegankelijk, waarbij ongeveer 69% nog op updates wacht.

Het beveiligingsbedrijf Bishop Fox heeft een eigen exploit gemaakt voor CVE-2023-27997, een heap overflow in FortiOS, hetbesturingssysteem dat FortiGate firewalls aanstuurt. Deze kwetsbaarheid maakt code-uitvoering op afstand mogelijk.

CVE-2023-27997 veroorzaakt een op heap gebaseerd bufferlek in de SSL VPN-module van FortiGate. Demonstraties hebben aangetoond dat aanvallers deze zwakte kunnen misbruiken voor pre-authenticatie remote code execution.

Om het geopenbaarde risico aan te pakken, heeft Fortinet updates uitgebracht en een alternatieve oplossing voorgesteld. Met behulp van dit misbruik kunnen gebruikers de heap wijzigen, een verbinding tot stand brengen met een site onder hun controle, de BusyBox binary ophalen en een virtuele shell starten. 

De stappen om deze exploit te bereiken lijken sterk op de procedure die wordt beschreven in een blogpost van Lexfo. Iemand kan deze stappen in ongeveer één seconde uitvoeren.

De volgende Shodan CLI zoekopdracht toont ongeveer 490.000 onbeveiligde SSL VPN poorten verbonden met de Fortigate Firewall.

Lees ook: “Google pakt 46 kwetsbaarheden aan met maandelijkse Android-beveiligingsupdate”

In de afgelopen twee maanden heeft Shodan 335.923 apparaten geïdentificeerd die nog een patch moeten uitvoeren voor de Last-Modified HTTP-response-header.

In de onderstaande query gingen we ervan uit dat de helft van de apparaten die in mei waren geïnstalleerd, gepatcht waren. Deze aanname houdt rekening met de aanwezigheid van overlappende versies tijdens die periode. Bovendien wordt aangenomen dat alle installaties van juni zijn gepatcht.

Op basis van deze resultaten hebben slechts 153.414 apparaten patches ontvangen, waardoor een zorgwekkende 69% (of 335.923 van 489.337) van de apparaten niet gepatcht is.

Uit het diepere onderzoek van het onderzoeksteam bleek dat er veel installaties waren van versie 7 (uitgebracht begin 2021) en een groot aantal van versie 6, die langzamerhand het einde van zijn levenscyclus nadert.