Des centaines de milliers de pare-feu FortiGate sont vulnérables à un problème de sécurité critique identifié comme CVE-2023-27997, près d’un mois après que Fortinet a publié une mise à jour qui résout le problème.

La vulnérabilité est une exécution de code à distance avec un score de gravité de 9,8 sur 10 résultant d’un problème de dépassement de mémoire tampon basé sur le tas dans FortiOS, le système d’exploitation qui connecte tous les composants réseau Fortinet pour les intégrer dans la plate-forme Security Fabric du fournisseur.

CVE-2023-27997 est exploitable et permet à un attaquant non authentifié d’exécuter du code à distance sur des appareils vulnérables avec l’interface VPN SSL exposée sur le Web. Dans un avis à la mi-juin, le fournisseur a averti que le problème avait peut-être été exploité lors d’attaques.

Fortinet a corrigé la vulnérabilité le 11 juin avant de la divulguer publiquement, en publiant les versions 6.0.17, 6.2.15, 6.4.13, 7.0.12 et 7.2.5 du firmware FortiOS.

La société de solutions de sécurité offensive Bishop Fox a rapporté vendredi que malgré les appels à appliquer des correctifs, plus de 300 000 appliances de pare-feu FortiGate sont toujours vulnérables aux attaques et accessibles sur l’Internet public.

Les chercheurs de Bishop Fox ont utilisé le moteur de recherche Shodan pour trouver des appareils qui répondaient d’une manière qui indiquait une interface VPN SSL exposée. Ils y sont parvenus en recherchant les appliances qui ont renvoyé un en-tête de réponse HTTP spécifique.

Ils ont filtré les résultats vers ceux qui ont été redirigés vers « /remote/login », une indication claire d’une interface VPN SSL exposée..

Requête Shodan utilisée pour trouver des appareils exposés

La requête ci-dessus a montré 489 337 appareils, mais tous n’étaient pas vulnérables à CVE-2023-27997, également appelé Xortigate. En poursuivant leurs recherches, les chercheurs ont découvert que 153 414 des appareils découverts avaient été mis à jour vers une version sûre de FortiOS.

Logique de calcul utilisée pour déterminer les appareils vulnérables

Cela signifie qu’environ 335 900 des pare-feu FortiGate accessibles sur le Web sont vulnérables aux attaques, un nombre nettement supérieur aux 250 000 estimations récentes basées sur d’autres requêtes moins précises, selon les chercheurs de Bishop Fox.

Une autre découverte faite par les chercheurs de Bishop Fox est que de nombreux appareils FortiGate exposés n’ont pas reçu de mise à jour au cours des huit dernières années, certains d’entre eux exécutant FortiOS 6, qui a atteint la fin du support l’année dernière le 29 septembre.

Ces appareils sont vulnérables à plusieurs failles de gravité critique dont le code d’exploitation de preuve de concept est accessible au public.

Pour démontrer que CVE-2023-27997 peut être utilisé pour exécuter du code à distance sur des appareils vulnérables, Bishop Fox a créé un exploit qui permet « de briser le tas, de se reconnecter à un serveur contrôlé par l’attaquant, de télécharger un binaire BusyBox et d’ouvrir un shell interactif . »

Exploit de Bishopfox pour CVE-2023-27997

« Cet exploit suit de très près les étapes détaillées dans le billet de blog original de Lexfo […] et s’exécute en environ une seconde, ce qui est nettement plus rapide que la vidéo de démonstration sur un appareil 64 bits présentée par Lexfo », note Bishop Fox dans leur rapport.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *