Fortinet: Lỗi FortiOS RCE mới "có thể đã bị khai thác" trong các cuộc tấn công

Lỗ hổng (được theo dõi là CVE-2023-27997 / FG-IR-23-097) có điểm yếu tràn vùng đệm dữ liệu (buffer) dựa trên heap trong FortiOS và FortiProxy SSL-VPN có thể cho phép kẻ tấn công không được xác thực thực thi mã từ xa (RCE) thông qua các yêu cầu thủ công độc hại .

CVE-2023-27997 được phát hiện trong quá trình kiểm tra mã của mô-đun SSL-VPN sau một loạt các cuộc tấn công gần đây khác nhằm vào các tổ chức chính phủ khai thác lỗ hổng zero-day CVE-2022-42475 FortiOS SSL-VPN.

Ngày 9 tháng 6, Fortinet đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng trước khi tiết lộ các chi tiết bổ sung vào ngày 12 tháng 6.

Đây không phải là lần đầu tiên công ty làm lộ các bản vá trước khi tiết lộ các lỗ hổng nghiêm trọng để khách hàng có thời gian bảo mật thiết bị của họ trước khi các tác nhân đe dọa đảo ngược thiết kế chúng để tạo ra các lỗ hổng.

"Cuộc điều tra của chúng tôi phát hiện ra rằng một vấn đề (FG-IR-23-097) có thể đã bị khai thác trong một số trường hợp hạn chế và chúng tôi đang hợp tác chặt chẽ với khách hàng để theo dõi tình hình", Fortinet cho biết trong một báo cáo được công bố ngày 5 tháng 6.

"Vì lý do này, nếu khách hàng đã bật SSL-VPN, Fortinet khuyên khách hàng nên hành động ngay lập tức để nâng cấp lên bản phát hành chương trình cơ sở mới nhất.

"Nếu khách hàng không vận hành SSL-VPN, rủi ro của sự cố này sẽ được giảm thiểu – tuy nhiên, Fortinet vẫn khuyên bạn nên nâng cấp."

Theo Shodan, hơn 250.000 tường lửa Fortigate đã bị lộ trên Internet và rất có khả năng một số đáng kể hiện cũng dễ bị tấn công vì lỗi này ảnh hưởng đến tất cả các phiên bản firmware trước đó.

Kết nối Volt Typhoon

Mặc dù không đưa ra bất kỳ liên kết nào với các cuộc tấn công Volt Typhoon được tiết lộ gần đây nhắm vào các tổ chức cơ sở hạ tầng quan trọng trên khắp Hoa Kỳ, Fortinet đã đề cập đến khả năng nhóm gián điệp mạng Trung Quốc cũng có thể nhắm mục tiêu vào lỗ hổng CVE-2023-27997.

"Tại thời điểm này, chúng tôi không liên kết FG-IR-23-097 với chiến dịch Volt Typhoon, tuy nhiên, Fortinet hy vọng tất cả các tác nhân đe dọa, bao gồm cả những kẻ đứng sau chiến dịch Volt Typhoon, sẽ tiếp tục khai thác các lỗ hổng chưa được vá trong phần mềm và thiết bị được sử dụng rộng rãi." công ty cho biết.

"Vì lý do này, Fortinet liên tục kêu gọi giảm thiểu ngay lập tức thông qua một chiến dịch vá tích cực."

Volt Typhoon được biết đến với việc xâm nhập vào các thiết bị Fortinet FortiGuard tiếp xúc với Internet thông qua lỗ hổng zero-day không xác định để có quyền truy cập vào mạng của các tổ chức trong nhiều lĩnh vực quan trọng.

Các tác nhân đe dọa cũng sử dụng các bộ định tuyến, tường lửa và thiết bị VPN bị xâm nhập từ nhiều nhà cung cấp để tránh bị phát hiện bằng cách đảm bảo hoạt động độc hại của chúng trộn lẫn với lưu lượng mạng hợp pháp.

Fortinet cho biết rằng họ chủ yếu nhắm mục tiêu các thiết bị chưa được vá CVE-2022-40684, một lỗ hổng bỏ qua xác thực trong các thiết bị FortiOS / FortiProxy / FortiSwitchManager, để truy cập ban đầu.

Tuy nhiên, như đã đề cập trước đây, các tác nhân đe dọa cũng được cho là sẽ bắt đầu lạm dụng các lỗ hổng mới khi chúng được tiết lộ.

Nguồn: bleepingcomputer.com