336 000 серверов остаются незащищенными от критической уязвимости Fortigate

Исследователи говорят, что почти 336 000 устройств, подключенных к Интернету, остаются уязвимыми для критической уязвимости в брандмауэрах, продаваемых Fortinet, поскольку администраторы еще не установили исправления, выпущенные компанией три недели назад.

CVE-2023-27997 — это удаленное выполнение кода в сетях Fortigate VPN, которые входят в состав межсетевых экранов компании. Уязвимость, связанная с ошибкой переполнения кучи, имеет рейтинг серьезности 9,8 из 10. 8 июня и раскрыл это четыре дня спустя в бюллетене, в котором говорится, что он мог быть использован в целевых атаках. В тот же день Управление кибербезопасности и безопасности инфраструктуры США добавил это к своему каталогу известных эксплуатируемых уязвимостей и дал федеральным агентствам время до вторника, чтобы исправить его.

По словам исследователей, несмотря на серьезность и доступность исправления, администраторы не спешат его исправлять.

Охранная компания Bishop Fox в пятницу, ссылаясь на данные, полученные в результате запросов поисковой системы Shodan, заявила, что из 489 337 затронутых устройств, размещенных в Интернете, 335 923 из них, или 69 процентов, остались без исправлений. Бишоп Фокс сказал, что на некоторых уязвимых машинах установлено программное обеспечение Fortigate, которое не обновлялось с 2015 года.

«Вау! Похоже, в Интернете есть несколько устройств под управлением 8-летней версии FortiOS, — написал в пятницу Калеб Гросс, директор по развитию возможностей в Bishop Fox. «Я бы не стал трогать тех, у кого есть 10-футовый шест».

Гросс сообщил, что Bishop Fox разработал эксплойт для тестирования устройств клиентов.

На приведенном выше снимке экрана показан экспериментальный эксплойт, разрушающий кучу — защищенную область памяти компьютера, зарезервированную для запуска приложений. Повреждение внедряет вредоносный код, который подключается к серверу, контролируемому злоумышленниками, загружает утилиту BusyBox для Unix-подобных операционных систем и открывает интерактивную оболочку, которая позволяет удаленно выполнять команды с уязвимой машины. Для завершения эксплойта требуется всего около одной секунды. Скорость лучше, чем у PoC Lexfo. выпущен 13 июня.

В последние годы несколько продуктов Fortinet подверглись активной эксплуатации. В феврале хакеры из нескольких групп угроз начал эксплуатировать критическая уязвимость в FortiNAC, решении для управления доступом к сети, которое идентифицирует и контролирует устройства, подключенные к сети. Один исследователь сказал, что нацеливание на уязвимость, отслеживаемую как CVE-2022-39952, привело к «массовой установке веб-оболочек», которые предоставили хакерам удаленный доступ к скомпрометированным системам. В декабре прошлого года неизвестный злоумышленник воспользовался другой критической уязвимостью в FortiOS SSL-VPN, чтобы заразить правительство и организации, связанные с государством, передовым специализированным вредоносным ПО. Fortinet незаметно исправила уязвимость в конце ноября, но не раскрывала ее до тех пор, пока не начались атаки в дикой природе. Компания еще не объяснила, почему и какова ее политика в отношении раскрытия уязвимостей в своих продуктах. А в 2021 году три уязвимости в FortiOS VPN от Fortinet — две были исправлены в 2019 году и одна год спустя — были устранены. целью злоумышленников пытается получить доступ к нескольким государственным, коммерческим и технологическим службам.

Пока что мало подробностей об активных эксплойтах CVE-2023-27997, которые, по словам Fortinet, могут быть в процессе. Volt Typhoon, название для отслеживания китайскоязычной группы угроз, активно использовала CVE-2023-40684, отдельная уязвимость Fortigate такой же высокой степени серьезности. Fortinet заявила в своем раскрытии от 12 июня, что в соответствии с Volt Typhoon будет направлено на использование CVE-2023-27997, которую Fortinet отслеживает под внутренним обозначением FG-IR-23-097.

«В настоящее время мы не связываем FG-IR-23-097 с кампанией Volt Typhoon, однако Fortinet ожидает, что все субъекты угроз, включая тех, кто стоит за кампанией Volt Typhoon, будут продолжать использовать неисправленные уязвимости в широко используемом программном обеспечении и устройствах», Fortinet сказал в то время. По этой причине Fortinet призывает к немедленному и постоянному смягчению последствий с помощью агрессивной кампании по установке исправлений».

Листинг изображений от Getty Images