300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug
2023/07/03 BleepingComputer — 数十万台の FortiGate ファイアウォールに影響を及ぼすとされる、深刻な脆弱性 CVE-2023-27997 だが、この問題に対処するアップデートを Fortinet がリリースしてから、約 1ヶ月が経過した。この、深刻度スコア 9.8 の脆弱性は、リモートコード実行にいたるものであり、すべてのネットワーキング・コンポーネントを、Fortiner のセキュリティ・ファブリック・プラットフォームに接続する、FortiOS のヒープバッファ・オーバーフローに起因するものだと説明されている。
SSL VPN インターフェースが Web 上に公開されている脆弱なデバイス上において、この脆弱性 CVE-2023-27997 の悪用が可能であり、認証されていない攻撃者に対してリモートコード実行を許す可能性が生じる。Fortinet は6月中旬のアドバイザリで、この脆弱性が、実際の攻撃で悪用されている可能性があると警告している。
Fortinet は、この脆弱性を公表する前の 6月11日の時点で、FortiOS ファームウェアのバージョン 6.0.17/6.2.15/6.4.13/7.0.12/7.2.5 をリリースすることで対処している。
その後に、パッチ適用が呼びかけられてきたが、30万台以上の FortiGate ファイアウォール・アプライアンスが、依然として攻撃に対して脆弱であり、パブリックなインターネット経由でアクセス可能であると、セキュリティ・ソリューション企業である Bishop Fox が 6月30日 (金) に報告している。
Bishop Fox の研究者たちは Shodan 検索エンジンを使用して、SSL VPN インターフェイスが露出しているデバイス群を見つけた。この調査は、特定の HTTP レスポンス・ヘッダを返すアプライアンスを検索することで実現したという。
具体的には、”/remote/login” にリダイレクトされたリクエスト結果をフィルタリングし、SSL VPN インターフェースが露出しているものを判別したという。
上記のクエリは、489,337台のデバイスを示しているが、その全てが脆弱性 CVE-2023-27997 (Xortigate とも呼ばれる) を持っているわけではない。さらに調査したところ、発見されたアプライアンスのうち 153,414台が、安全な FortiOS バージョンにアップデートされていることが判明した。
つまり、Web上でアクセス可能な FortiGate ファイアウォールのうちの約 335,900台が、攻撃に対して脆弱であることを意味している。Bishop Fox の研究者たちによると、この数は、精度の低い他のクエリに基づく推定値 250,000台よりも、高くなっているとのことだ。
Bishop Fox の研究者たちは、もう1つの事実を発見している。それは、公開されている FortiGate デバイスの多くが、過去8年間においてアップデートを受け取っておらず、その一部には、昨年 9月29日にサポート終了を迎えた FortiOS 6 も含まれていたことだ。
これらのデバイスは、すでに PoC エクスプロイトコードが公開されている、複数の深刻な脆弱性においても問題を生じる。
Bishop Fox は、「脆弱性 CVE-2023-27997 を使用して、欠陥のあるデバイス上でリモートコード実行を実証した。それは、ヒープを破壊し、攻撃者が制御するサーバーに接続し、BusyBox バイナリをダウンロードし、対話型のシェルを開くことを可能にする、PoC エクスプロイトである」と述べている。
Bishop Fox の報告書には、「このエクスプロイトは、Lexfo のオリジナル・ブログに詳述されているステップに、きわめて忠実に従っており、実行時間は約1秒である。Lexfo が示した 64 Bit デバイス上では、デモ動画より大幅に高速で処理される」と記されている。
この、Fortinet の脆弱性 CVE-2023-27997 について、2023/06/11 の「Fortinet Fortigate の RCE 脆弱性 CVE-2023-27997 は危険:ただちにパッチを!」と、2023/06/12 の「Fortinet の脆弱性 CVE-2023-27997 が悪用されている:Volt Typhoon が攻撃?」という記事がポストされています。そして今回、Bishop Fox の研究者たちが Shodan 検索エンジンで調査したところ、脆弱だと推測される 約 335,900台 の FortiGate ファイアウォールが発見されたとのことです。
You must be logged in to post a comment.