Fortinet пусна нови актуализации на фърмуера на Fortigate, които поправят неразкрита, критична уязвимост за отдалечено изпълнение на код преди удостоверяване в SSL VPN устройства.

Поправките на сигурността бяха публикувани в петък във версиите на фърмуера на FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5.

Макар да не се споменава в бележките към изданието, специалистите по сигурността и администраторите намекнаха, че актуализациите тихомълком са поправили критична уязвимост в SSL-VPN RCE, която ще бъде разкрита във вторник, 13 юни 2023 г.

„Недостатъкът би позволил на враждебен агент да се намеси чрез VPN, дори ако MFA е активиран“, се казва в консултация от френската фирма за киберсигурност Olympe Cyberdefense.

„Към днешна дата всички версии биха били засегнати, изчакваме публикуването на CVE на 13 юни 2023 г., за да потвърдим тази информация.“

Известно е, че Fortinet разпространява пачове за сигурност преди разкриването на критични уязвимости, за да даде на клиентите време да актуализират своите устройства, преди  заплахите да са направили обратен инженеринг на пачовете.

Днес допълнителна информация беше разкрита от изследователя на уязвимостите на Lexfo Security Чарлз Фол, който заяви пред медиите, че новите актуализации на FortiOS включват поправка на критична уязвимост RCE, открита от него и Rioru.

„Fortinet публикува кръпка за CVE-2023-27997, уязвимостта за изпълнение на отдалечен код, за която съобщихме @DDXhunter и аз“, гласи туитът на Фол.

„Това е достижимо преди удостоверяване на автентичността, на всяко устройство за SSL VPN. Направете кръпка на вашия Fortigate. Подробности на по-късен етап. #xortigate.“

Фол потвърди, че това трябва да се счита за спешна кръпка за администраторите на Fortinet, тъй като е вероятно тя да бъде бързо анализирана и открита от  заплахите.

Устройствата на Fortinet са едни от най-популярните защитни стени и VPN устройства на пазара, което ги прави популярна цел за атаки.

Според търсене в Shodan над 250 000 защитни стени Fortigate могат да бъдат достигнати от интернет и тъй като този бъг засяга всички предишни версии, по-голямата част от тях вероятно са изложени на риск.

В миналото дефекти в SSL-VPN са били използвани от  заплахи само няколко дни след пускането на кръпките, като обикновено са били използвани за получаване на първоначален достъп до мрежите с цел извършване на кражба на данни и атаки с цел получаване на откуп.

Ето защо администраторите трябва да прилагат актуализациите за сигурност на Fortinet веднага щом станат достъпни.

Fortinet сподели следното изявление, след като  им бяха зададени въпроси относно това дали грешката е била използвана.

„Навременната и непрекъсната комуникация с нашите клиенти е ключов компонент в усилията ни за най-добра защита и сигурност на тяхната организация. Има случаи, в които поверителната предварителна комуникация с клиентите може да включва ранно предупреждение за Съвети, за да се даде възможност на клиентите да засилят допълнително своята позиция по отношение на сигурността, преди Съветите да бъдат публично оповестени на по-широка аудитория. Този процес следва най-добрите практики за отговорно оповестяване, за да гарантира, че нашите клиенти разполагат с навременната информация, която им е необходима, за да им помогне да вземат информирани решения, основани на риска. За повече информация относно процеса на отговорно оповестяване на Fortinet посетете страницата на екипа за реагиране при инциденти със сигурността на продуктите (PSIRT) на Fortinet: https://www.fortiguard.com/psirt_policy.“