更新日期:2023年6月12日
Fortinet发布了新的安全通告,警告称该漏洞可能已在攻击中被利用。Fortinet推出了新的Fortigate固件更新,修复了一个未公开的、关键的预认证远程代码执行漏洞,该漏洞在SSL VPN设备中被追踪为CVE-2023-27997。
新固件版本
安全修复于周五发布,涵盖了以下FortiOS固件版本: - 6.0.17 - 6.2.15 - 6.4.13 - 7.0.12 - 7.2.5
尽管在发布说明中未提及,安全专业人士和管理员暗示,这些更新悄然修复了一个关键的SSL-VPN RCE漏洞,预计将在2023年6月13日公布。
漏洞影响
来自法国网络安全公司Olympe Cyberdefense的通告指出:“该缺陷允许恶意代理通过VPN进行干扰,即使启用了多因素认证(MFA)。”截至目前,所有版本均受到影响,我们正在等待2023年6月13日CVEs的发布以确认此信息。
Fortinet以在公开关键漏洞之前推送安全补丁而闻名,这样可以为客户提供更新设备的时间,避免威胁行为者对补丁进行逆向工程。
漏洞细节
今天,Lexfo安全漏洞研究人员Charles Fol向BleepingComputer透露,新的FortiOS更新包括他和Rioru发现的关键RCE漏洞的修复。“Fortinet发布了针对CVE-2023-27997的补丁,这是@DDXhunter和我报告的远程代码执行漏洞。”Fol在推特上写道。
他还确认,BleepingComputer应该将此视为Fortinet管理员的紧急补丁,因为威胁行为者可能会迅速分析并发现该漏洞。
设备安全现状
Fortinet设备是市场上最受欢迎的防火墙和VPN设备,使其成为攻击的热门目标。根据Shodan搜索,超过500,000个Fortigate防火墙可以从互联网访问,且由于此漏洞影响所有之前的版本,大多数设备可能都处于暴露状态。
过去,SSL-VPN漏洞在补丁发布后的几天内被威胁行为者利用,通常用于获得网络的初步访问权限,从而进行数据盗窃和勒索攻击。因此,管理员必须在安全更新发布后尽快应用Fortinet的安全补丁。
Fortinet的回应
BleepingComputer已联系Fortinet以了解更多关于更新的信息,但尚未立即获得回复。
更新:2023年6月11日 8:35 PM ET
Fortinet在与BleepingComputer联系后,共享了以下声明:“与客户的及时和持续沟通是我们努力保护和确保其组织安全的关键组成部分。有时,保密的提前客户沟通可以包括对建议的早期警告,以使客户能够在建议公开发布之前进一步加强其安全态势。该过程遵循负责任披露的最佳实践,以确保我们的客户获得他们需要的及时信息,帮助他们做出基于风险的明智决策。”
更新:2023年6月11日 6:01 PM ET
Fortinet表示,新的漏洞CVE-2023-27997可能已在针对政府、制造业和关键基础设施的攻击中被利用。“我们的调查发现,一个问题(FG-IR-23-097)可能在有限数量的案例中被利用,我们正在与客户密切合作以监控情况。”Fortinet还与BleepingComputer共享了以下声明。
“我们在6月12日发布了关于CVE-2023-27997的PSIRT通告(FG-IR-23-097),详细说明了关于此漏洞的推荐后续步骤。Fortinet继续监控情况,并积极与客户进行沟通,强烈敦促他们立即遵循提供的指导,以通过提供的变通方法或升级来减轻该漏洞的影响。作为后续措施,我们分享了额外的细节和澄清,以帮助我们的客户就CVE-2023-27997做出基于风险的明智决策。”
更新:2023年6月14日
增加了安全研究人员nekono_nanomotoni分享的新Shodan搜索查询,受影响的设备增加到超过500,000个!
结论
Fortinet的SSL VPN设备正面临严重的安全威胁,管理员必须采取迅速行动,确保设备安全。及时应用更新和补丁是保护网络安全的关键步骤。欲了解更多信息,请访问Fortinet的产品安全事件响应团队(PSIRT)页面。
