Fortinet FortiGate の脆弱性 CVE-2023-27997:依然として30万台の未パッチが公開

300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug

2023/07/03 BleepingComputer — 数十万台の FortiGate ファイアウォールに影響を及ぼすとされる、深刻な脆弱性 CVE-2023-27997 だが、この問題に対処するアップデートを Fortinet がリリースしてから、約 1ヶ月が経過した。この、深刻度スコア 9.8 の脆弱性は、リモートコード実行にいたるものであり、すべてのネットワーキング・コンポーネントを、Fortiner のセキュリティ・ファブリック・プラットフォームに接続する、FortiOS のヒープバッファ・オーバーフローに起因するものだと説明されている。


SSL VPN インターフェースが Web 上に公開されている脆弱なデバイス上において、この脆弱性 CVE-2023-27997 の悪用が可能であり、認証されていない攻撃者に対してリモートコード実行を許す可能性が生じる。Fortinet は6月中旬のアドバイザリで、この脆弱性が、実際の攻撃で悪用されている可能性があると警告している。

Fortinet は、この脆弱性を公表する前の 6月11日の時点で、FortiOS ファームウェアのバージョン 6.0.17/6.2.15/6.4.13/7.0.12/7.2.5 をリリースすることで対処している。

その後に、パッチ適用が呼びかけられてきたが、30万台以上の FortiGate ファイアウォール・アプライアンスが、依然として攻撃に対して脆弱であり、パブリックなインターネット経由でアクセス可能であると、セキュリティ・ソリューション企業である Bishop Fox が 6月30日 (金) に報告している。

Bishop Fox の研究者たちは Shodan 検索エンジンを使用して、SSL VPN インターフェイスが露出しているデバイス群を見つけた。この調査は、特定の HTTP レスポンス・ヘッダを返すアプライアンスを検索することで実現したという。

具体的には、”/remote/login” にリダイレクトされたリクエスト結果をフィルタリングし、SSL VPN インターフェースが露出しているものを判別したという。

Shodan query used for finding exposed devices
Shodan query used for finding exposed devices (Bishopfox)

上記のクエリは、489,337台のデバイスを示しているが、その全てが脆弱性 CVE-2023-27997 (Xortigate とも呼ばれる) を持っているわけではない。さらに調査したところ、発見されたアプライアンスのうち 153,414台が、安全な FortiOS バージョンにアップデートされていることが判明した。

Calculation logic
Calculation logic used for determining vulnerable devices (Bishopfox)

つまり、Web上でアクセス可能な FortiGate ファイアウォールのうちの約 335,900台が、攻撃に対して脆弱であることを意味している。Bishop Fox の研究者たちによると、この数は、精度の低い他のクエリに基づく推定値 250,000台よりも、高くなっているとのことだ。

Bishop Fox の研究者たちは、もう1つの事実を発見している。それは、公開されている FortiGate デバイスの多くが、過去8年間においてアップデートを受け取っておらず、その一部には、昨年 9月29日にサポート終了を迎えた FortiOS 6 も含まれていたことだ。

これらのデバイスは、すでに PoC エクスプロイトコードが公開されている、複数の深刻な脆弱性においても問題を生じる。

Bishop Fox は、「脆弱性 CVE-2023-27997 を使用して、欠陥のあるデバイス上でリモートコード実行を実証した。それは、ヒープを破壊し、攻撃者が制御するサーバーに接続し、BusyBox バイナリをダウンロードし、対話型のシェルを開くことを可能にする、PoC エクスプロイトである」と述べている。

Exploit
Bishopfox’s exploit for CVE-2023-27997
source: Bishop Fox

Bishop Fox の報告書には、「このエクスプロイトは、Lexfo のオリジナル・ブログに詳述されているステップに、きわめて忠実に従っており、実行時間は約1秒である。Lexfo が示した 64 Bit デバイス上では、デモ動画より大幅に高速で処理される」と記されている。

この、Fortinet の脆弱性 CVE-2023-27997 について、2023/06/11 の「Fortinet Fortigate の RCE 脆弱性 CVE-2023-27997 は危険:ただちにパッチを!」と、2023/06/12 の「Fortinet の脆弱性 CVE-2023-27997 が悪用されている:Volt Typhoon が攻撃?」という記事がポストされています。そして今回、Bishop Fox の研究者たちが Shodan 検索エンジンで調査したところ、脆弱だと推測される 約 335,900台 の FortiGate ファイアウォールが発見されたとのことです。