Fortinet reveló el lunes que una falla crítica recientemente parcheada que afecta a FortiOS y FortiProxy puede haber sido «explotada en un número limitado de casos» en ataques dirigidos a sectores gubernamentales, de fabricación e infraestructura crítica.
El vulnerabilidadrastreado como CVE-2023-27997 (puntaje CVSS: 9.2), se refiere a un desbordamiento de búfer basado en montón Vulnerabilidad en FortiOS y FortiProxy SSL-VPN que podría permitir a un atacante remoto ejecutar código o comandos arbitrarios a través de solicitudes diseñadas específicamente.
A los investigadores de seguridad de LEXFO Charles Fol y Dany Bach se les atribuye el descubrimiento y la notificación de la falla. Fue abordado por Fortinet el 9 de junio de 2023 en las siguientes versiones:
- FortiOS-6K7K versión 7.0.12 o superior
- FortiOS-6K7K versión 6.4.13 o superior
- FortiOS-6K7K versión 6.2.15 o superior
- FortiOS-6K7K versión 6.0.17 o superior
- FortiProxy versión 7.2.4 o superior
- FortiProxy versión 7.0.10 o superior
- FortiProxy versión 2.0.13 o superior
- FortiOS versión 7.4.0 o superior
- FortiOS versión 7.2.5 o superior
- FortiOS versión 7.0.12 o superior
- FortiOS versión 6.4.13 o superior
- FortiOS versión 6.2.14 o superior, y
- FortiOS versión 6.0.17 o superior
La empresa, en un divulgación independientedijo que el problema se descubrió simultáneamente durante una auditoría de código que se inició prudentemente luego de la explotación activa de una falla similar en el producto SSL-VPN (CVE-2022-42475, puntaje CVSS: 9.3) en diciembre de 2022.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Fortinet dijo además que no está atribuyendo los eventos de explotación en esta etapa a un actor patrocinado por el estado chino con nombre en código Volt Typhoon, que Microsoft reveló el mes pasado que aprovechaba una falla desconocida de día cero en los dispositivos Fortinet FortiGuard con acceso a Internet para obtener acceso inicial. a los entornos de destino.
Sin embargo, señaló que «espera que todos los actores de amenazas, incluidos los que están detrás de la campaña Volt Typhoon, continúen explotando vulnerabilidades sin parches en software y dispositivos ampliamente utilizados».
A la luz del abuso activo en estado salvaje, la compañía recomienda que los clientes tomen medidas inmediatas para actualizar a la última versión de firmware para evitar riesgos potenciales.
«Fortinet continúa monitoreando la situación y se ha estado comunicando de manera proactiva con los clientes, instándolos encarecidamente a seguir de inmediato las instrucciones proporcionadas para mitigar la vulnerabilidad utilizando las soluciones alternativas provistas o mediante la actualización», dijo la compañía a The Hacker News.