Η Fortinet αναφέρει ότι μια νέα ευπάθεια του FortiOS SSL VPN, που διορθώθηκε πρόσφατα, ενδέχεται να έχει χρησιμοποιηθεί σε επιθέσεις εναντίον κυβερνητικών, κατασκευαστικών και οργανισμών κρίσιμων υποδομών.
Δείτε επίσης: Fortinet: Διορθώνει κρίσιμο σφάλμα RCE στο Fortigate SSL VPN
Το σφάλμα που αναφέρεται ως CVE-2023-27997 / FG-IR-23-097 είναι μια ευπάθεια υπερχείλισης buffer στο FortiOS και το FortiProxy SSL-VPN. Αυτό μπορεί να επιτρέψει σε εισβολείς απομακρυσμένη εκτέλεση κώδικα (RCE) με αιτήματα που έχουν δημιουργηθεί με κακόβουλο τρόπο. Κατά τη διαδικασία ελέγχου του κώδικα της μονάδας SSL-VPN, ανακαλύφθηκε το CVE-2023-27997 μετά από μια σειρά πρόσφατων επιθέσεων κατά κυβερνητικών οργανισμών, οι οποίες εκμεταλλεύονταν το CVE-2022-42475 FortiOS SSL-VPN zero-day.
Η Fortinet κυκλοφόρησε ενημερώσεις ασφαλείας την Παρασκευή για να διορθώσει μια ευπάθεια. Δεν έχουν αποκαλυφθεί πρόσθετες λεπτομέρειες μέχρι σήμερα. Η εταιρεία έχει προωθήσει ενημερώσεις κώδικα πριν από την ανακάλυψη κρίσιμων ευπαθειών στο παρελθόν, ώστε να δώσει στους πελάτες χρόνο να ασφαλίσουν τις συσκευές τους πριν ανακοινωθούν οι ευπαθείες και να αποτραπεί η εκμετάλλευσή τους από κακόβουλους φορείς.
«Η έρευνά μας διαπίστωσε ότι ένα ζήτημα (FG-IR-23-097) μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε περιορισμένο αριθμό περιπτώσεων και συνεργαζόμαστε στενά με πελάτες για να παρακολουθήσουμε την κατάσταση», ανέφερε η Fortinet σε έκθεση που δημοσιεύθηκε τη Δευτέρα.
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Χάκερ χρησιμοποιούν webcam χωρίς να εντοπίζονται
Αστεροειδής φλέγεται πάνω από τη Σιβηρία
“Για αυτόν τον λόγο, εάν ο πελάτης έχει ενεργοποιημένο το SSL-VPN, η Fortinet συμβουλεύει να λάβει άμεσα μέτρα για την αναβάθμιση στην πιο πρόσφατη έκδοση υλικολογισμικού.“
“Εάν ο πελάτης δεν χρησιμοποιεί SSL-VPN, ο κίνδυνος αυτού του ζητήματος μετριάζεται – ωστόσο, η Fortinet εξακολουθεί να συνιστά αναβάθμιση.“
Δείτε ακόμα: Οι zero-day επιθέσεις Fortinet συνδέονται με Κινέζους χάκερ
Σύμφωνα με τη Shodan, περισσότερα από 250.000 τείχη προστασίας Fortigate εκτίθενται στο Διαδίκτυο. Είναι πιθανό να υπάρχουν ευπάθειες σε έναν σημαντικό αριθμό από αυτά τα τείχη, λόγω ενός σφάλματος που επηρεάζει όλες τις προηγούμενες εκδόσεις του λογισμικού.
Παρόλο που δεν συνδέθηκε με τις επιθέσεις Volt Typhoon που αποκαλύφθηκαν πρόσφατα κατά οργανώσεων κρίσιμης υποδομής σε όλη την Αμερική, το Fortinet αναφέρει ότι η κινεζική ομάδα κυβερνοκατασκοπείας ενδέχεται να χρησιμοποίησε την ευπάθεια CVE-2023-27997.
Το Volt Typhoon είναι ένα κακόβουλο λογισμικό που επιτίθεται σε συσκευές Fortinet FortiGuard μέσω μιας zero-day ευπάθειας που είναι ακόμα άγνωστη, προκειμένου να εισέλθει στα δίκτυα οργανισμών σε διάφορους κρίσιμους τομείς, εκμεταλλευόμενο την εκτεθειμένη θέση τους στο Διαδίκτυο.
Οι κακόβουλοι παράγοντες χρησιμοποιούν συχνά επισφαλείς δρομολογητές, τείχη προστασίας και συσκευές VPN από πολλούς προμηθευτές για να μην ανιχνεύονται, εξασφαλίζοντας ταυτόχρονα ότι η παράνομη δραστηριότητά τους αναμειγνύεται με τη νόμιμη κυκλοφορία στο δίκτυο.
Η Fortinet ανακοίνωσε ότι θα επικεντρωθεί κυρίως στην ασφάλεια συσκευών που δεν έχουν επιδιορθωθεί για το CVE-2022-40684. Αυτός ο κίνδυνος παράκαμψης ελέγχου ταυτότητας αφορά συσκευές FortiOS / FortiProxy / FortiSwitchManager και επιτρέπει μη εξουσιοδοτημένη πρόσβαση σε εξουσιοδοτημένους λογαριασμούς.
Δείτε επίσης: Fortinet: FortiOS bug χρησιμοποιείται για επιθέσεις σε κυβερνήσεις
Όπως αναφέρθηκε προηγουμένως, οι παράγοντες απειλής αναμένεται να αρχίσουν να κάνουν κατάχρηση των νέων τρωτών σημείων.