69% de los FortiOS no han sido parcheados para CVE-2023-27997 - XORtigate
Bishop Fox desarrolló un exploit para CVE-2023-27997 - XORtigate, una vulnerabilidad de Heap Overflow en FortiOS, el sistema operativo detrás de los firewalls de FortiGate, que permite la ejecución remota de código. Hay 490.000 interfaces VPN SSL afectadas expuestas en Internet, y aproximadamente el 69% de ellas no están parcheadas actualmente. Deberías parchear el tuyo ahora.
El equipo de Bishop Fox creó un exploit para CVE-2023-27997. En la captura de pantalla muestra el exploit y como el atacante se conecta de nuevo a un servidor controlado por el atacante, descarga un BusyBox binario y abre una shell interactiva. Este exploit sigue muy de cerca los pasos detallados en la publicación de blog original de Lexfo.
Buscando en Shodan
Varios artículos publicados a raíz de la divulgación de esta vulnerabilidad
han sugerido que una búsqueda de Shodan revela 250.000 firewalls FortiGate
expuestos en Internet. Muchos de estos artículos usan la consulta
ssl.cert.subject.cn:FortiGate
, que busca cualquier certificado
SSL que se haya emitido para FortiGate. Pero, esta consulta no filtra
específicamente las interfaces SSL VPN, que es donde reside esta
vulnerabilidad. No encuentra dispositivos con certificados emitidos por
alguien que no sea Fortinet (por ejemplo, certificados autofirmados, proxies
inversos, etc.)
Para obtener mejores resultados, podemos buscar cualquier servidor que
devuelva el encabezado de respuesta HTTP
Server: xxxxxxxx-xxxxx
(curiosamente, parece ser una huella
digital confiable para los dispositivos que ejecutan FortiOS) y luego filtrar
aquellos que redirigen a /remote/login
, el ruta que expone la
interfaz SSL VPN:
"Server: xxxxxxxx-xxxxx" http.html:"top.location=/remote/login
Esta consulta devuelve casi 490.000 interfaces SSL VPN expuestas, aproximadamente el doble de la cantidad que obtuvimos cuando solo buscamos en función del certificado SSL.
Encontrar dispositivos sin parchear
Al inspeccionar las imágenes de software publicadas por Fortinet, sabemos que las versiones parcheadas de FortiOS se empaquetaron entre mayo y junio de 2023. Si buscamos en Shodan esos dos meses en el encabezado de respuesta HTTP de última modificación, podemos encontrar dispositivos que han sido parcheados.
Si solo se parchearon 153.414 dispositivos en Internet, quedan 335.923 de 489.337 ~= 69% sin parchear.
Por ejemplo, en Argentina hay más de 4.800 dispositivos sin actualizar:
Fuente: Bishop Fox
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!