■ Descripción:
Fortinet ha lanzado una nueva ronda de actualizaciones de emergencia para el firmware de Fortigate, los parches mitigan la vulnerabilidad crítica CVE-2023-27997 (también conocida como XORtigate), la cual conduce a la ejecución remota de código (previo a la autenticación) en dispositivos FortiOS SSL VPN, incluso si MFA está habilitado.
Los dispositivos de Fortinet son algunos de los Firewalls y VPN más populares del mercado, lo que los convierte en un objetivo habitual de los ataques, por tanto, los administradores deben aplicar las actualizaciones de seguridad de Fortinet tan pronto sea posible.
En el pasado, los fallos de SSL-VPN han sido explotados por actores de amenazas apenas unos días después de la publicación de los parches, utilizados habitualmente para obtener acceso inicial a las redes corporativas para ejecutar robo de información y ataques de ransomware.
Fortinet ha lanzado una publicación inicial sobre FortiOS & FortiProxy – Heap buffer overflow in sslvpn pre-authentication (https://www.fortiguard.com/psirt/FG-IR-23-097).
A heap-based buffer overflow vulnerability [CWE-122] in FortiOS and FortiProxy SSL-VPN may allow a remote attacker to execute arbitrary code or commands via specifically crafted requests.
🚨 Fortinet además, descubrió que la vulnerabilidad puede haber sido explotada en un número limitado de casos y están trabajando de cerca con los clientes para monitorear la situación.
El fallo de seguridad fue descubierto por Charles Fol y Dany Bach, de la firma francesa de Lexfo Security, quienes revelaron más detalles sobre la vulnerabilidad y aclararon que las nuevas actualizaciones para los productos de Fortinet solucionan su hallazgo.
La empresa Lexfo ha publicado más detalles técnicos sobre XORtigate (https://blog.lexfo.fr/xortigate-cve-2023-27997.html) junto a un par de videos con la POC funcionando:
■ Productos Afectados
- FortiOS-6K7K version 7.0.10
- FortiOS-6K7K version 7.0.5
- FortiOS-6K7K version 6.4.12
- FortiOS-6K7K version 6.4.10
- FortiOS-6K7K version 6.4.8
- FortiOS-6K7K version 6.4.6
- FortiOS-6K7K version 6.4.2
- FortiOS-6K7K version 6.2.9 through 6.2.13
- FortiOS-6K7K version 6.2.6 through 6.2.7
- FortiOS-6K7K version 6.2.4
- FortiOS-6K7K version 6.0.12 through 6.0.16
- FortiOS-6K7K version 6.0.10
- FortiProxy version 7.2.0 through 7.2.3
- FortiProxy version 7.0.0 through 7.0.9
- FortiProxy version 2.0.0 through 2.0.12
- FortiProxy 1.2 all versions
- FortiProxy 1.1 all versions
- FortiOS version 7.2.0 through 7.2.4
- FortiOS version 7.0.0 through 7.0.11
- FortiOS version 6.4.0 through 6.4.12
- FortiOS version 6.0.0 through 6.0.16
■ Panorama Mundial
De acuerdo a Shodan, en el mundo existen alrededor de 564.750 instancias Fortinet Fortigate potencialmente vulnerables.
■ Panorama en Iberoamérica
En Iberoamérica, existen cerca de 78.520 instancias potencialmente vulnerables, las que se distribuyen de la siguiente manera:
| PAÍS | INSTANCIAS |
| BR | 17.968 |
| ES | 14.054 |
| MX | 10.936 |
| PE | 8.623 |
| AR | 7.472 |
| CO | 5.845 |
| CL | 4.421 |
| EC | 2.066 |
| PR | 1.672 |
| PA | 1.207 |
| UY | 1.103 |
| VE | 1.081 |
| PY | 979 |
| HN | 598 |
| BO | 494 |
En Chile (como en otros países), muchas de las instancias Fortigate son instaladas y desplegadas por los proveedores ISP (Entel, GTD, Telefónica, Claro, IFX Networks y otros), es muy importante que estos proveedores actualicen las plataformas de sus clientes a tiempo y realicen evaluaciones periódicas de compromiso y seguridad.
No hacer lo anterior, podría conducir a nuevos ataques de ransomware y robo de información sensible.
■ Recomendacion de Seguridad:
Aplicar los parches de emergencia a la brevedad posible y según corresponda.
- Please upgrade to FortiOS-6K7K version 7.0.12 or above
- Please upgrade to FortiOS-6K7K version 6.4.13 or above
- Please upgrade to FortiOS-6K7K version 6.2.15 or above
- Please upgrade to FortiOS-6K7K version 6.0.17 or above
- Please upgrade to FortiProxy version 7.2.4 or above
- Please upgrade to FortiProxy version 7.0.10 or above
- Please upgrade to FortiProxy version 2.0.13 or above
- Please upgrade to FortiOS version 7.4.0 or above
- Please upgrade to FortiOS version 7.2.5 or above
- Please upgrade to FortiOS version 7.0.12 or above
- Please upgrade to FortiOS version 6.4.13 or above
- Please upgrade to FortiOS version 6.2.14 or above
- Please upgrade to FortiOS version 6.0.17 or above
También recomendamos aplicar las mejores prácticas difundidas por la marca:
https://docs.fortinet.com/document/fortigate/7.4.0/best-practices/555436/hardening
■ Referencias
- https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vpn-devices-patch-now/
- https://olympecyberdefense.fr/1193-2/
- https://www.thestack.technology/fortinet-vulnerability-vpn-cve-2023-27997/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27997
- https://www.fortiguard.com/psirt/FG-IR-23-097
- https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign
- https://blog.lexfo.fr/xortigate-cve-2023-27997.html
Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.
