Una vulnerabilità critica nei firewall venduti da Fortinet continua a mettere a rischio un gran numero di dispositivi. Nonostante la disponibilità di una patch rilasciata da Fortinet tre settimane fa, si stima che circa 336.000 dispositivi esposti su Internet rimangano vulnerabili. La vulnerabilità, identificata come CVE-2023-27997, è un errore di overflow del heap che consente l’esecuzione di codice remoto nei VPN Fortigate e ha un punteggio di gravità di 9,8 su 10.
Dettagli sulla vulnerabilità
La vulnerabilità CVE-2023-27997 riguarda i VPN Fortigate, che sono inclusi nei firewall dell’azienda. Fortinet ha rilasciato silenziosamente degli aggiornamenti per correggere il difetto l’8 giugno e lo ha divulgato quattro giorni dopo in un avviso, affermando che potrebbe essere stato sfruttato in attacchi mirati. La US Cybersecurity and Infrastructure Security Administration ha aggiunto la vulnerabilità al suo catalogo di vulnerabilità note sfruttate e ha dato alle agenzie federali fino a martedì per applicare la patch.
Lentezza nell’applicazione delle patch
Nonostante la gravità della vulnerabilità e la disponibilità di una patch, gli amministratori sono stati lenti nell’applicare la correzione. La società di sicurezza Bishop Fox ha riferito che, su 489.337 dispositivi interessati esposti su Internet, 335.923 di essi, pari al 69%, rimangono non aggiornati. Bishop Fox ha anche rilevato che alcune delle macchine vulnerabili sembrano utilizzare software Fortigate che non è stato aggiornato dal 2015.
Sviluppo di un exploit per testare i dispositivi
Bishop Fox ha sviluppato un exploit per testare i dispositivi dei clienti. Una schermata mostra l’exploit di prova che corrompe il heap, un’area di memoria protetta riservata per l’esecuzione delle applicazioni. La corruzione inietta codice dannoso che si connette a un server controllato dall’attaccante, scarica l’utilità BusyBox per sistemi operativi simili a Unix e apre una shell interattiva che consente di emettere comandi in remoto dalla macchina vulnerabile. L’exploit richiede solo circa un secondo per essere completato.
Fortinet esorta all’adozione di misure di mitigazione
Fortinet ha esortato a una mitigazione immediata e continua attraverso una campagna di patching aggressiva. Negli ultimi anni, diversi prodotti Fortinet sono stati sottoposti a sfruttamento attivo. Fortinet ha affermato che siaspetta che tutti gli attori delle minacce, compresi quelli dietro la campagna Volt Typhoon, continuino a sfruttare le vulnerabilità non corrette in software e dispositivi ampiamente utilizzati. Per questo motivo, Fortinet sottolinea l’importanza di adottare misure di mitigazione attraverso un’aggressiva campagna di patching.