Falha crítica explorada para contornar produtos Fortinet e comprometer organizações.

CVE-2023-27997

CVE-2023-27997

A falha é rastreada como CVE-2022-40684 no FortiOS, enquanto sua exploração está sendo vendida em um popular fórum de hackers russos.

Durante o monitoramento de rotina, o Global Sensor Intelligence (GIS) da Cyble descobriu que um agente de ameaças está distribuindo acesso não autorizado a várias VPNs Fortinet em um fórum de cibercrime russo.

Ao avaliar o acesso, os pesquisadores perceberam que o invasor estava tentando adicionar uma nova chave pública à conta do usuário administrador. Uma investigação mais aprofundada revelou que as organizações visadas usavam software FortiOS desatualizado.

Isso indicava que o invasor estava gerenciando o desvio de autenticação explorando um canal ou uma falha de caminho alternativo rastreada como CVE-2022-40684 no FortiOS. Essa falha de bypass de autenticação permite que um invasor não autorizado/não autenticado explore a interface administrativa.

Produtos afetados e versões de firmware

De acordo com a pesquisa da Cyble publicada em 24 de novembro de 2022, várias versões do Fortinet são afetadas por essa falha, incluindo FortiOS, FortiProxy e FortiSwitchManager. A vulnerabilidade permite que um invasor execute operações na “interface administrativa” por meio de solicitações HTTPS ou HTTP especialmente criadas, leu o comunicado do Cyble.

Conforme visto pelo Hackread.com, outro agente de ameaças no mesmo fórum de hackers russos está oferecendo o mesmo exploit Fortinet VPN. Em uma lista publicada hoje, o agente da ameaça citou a pesquisa do Censys que mostrou que existem mais de 400.000 dispositivos expostos.

Hackers usam falha crítica para contornar produtos da Fortinet e comprometer organizações

De acordo com os pesquisadores da Cyble, a seguir estão as versões impactadas do FortinetOS.

  1. FortiProxy versão 7.2.0
  2. FortiSwitchManager versão 7.2.0
  3. FortiSwitchManager versão 7.0.0
  4. FortiOS versão 7.0.0 a 7.0.6
  5. FortiOS versão 7.2.0 a 7.2.1
  6. FortiProxy versão 7.0.0 a 7.0.6

Detalhes da vulnerabilidade

A pesquisa revelou que o software Fortinet era o alvo desde 17 de outubro de 2022. O invasor explora o mecanismo de controle de uma função para atingir as versões afetadas dos produtos Fortinet.

A função avalia o acesso dos dispositivos afetados a outra funcionalidade chamada REST API. O invasor adiciona uma chave SSH à conta do administrador ao explorar a falha para acessar o SSH e invadir o sistema afetado como administrador.

Para comprometer ainda mais o sistema, o agente da ameaça modificará a chave SSH do usuário administrador e fará login no sistema infectado. Em seguida, eles adicionariam novos usuários locais e atualizariam as configurações de rede para redirecionar o tráfego. Em seguida, o invasor baixa a configuração do sistema e inicia capturas de pacotes para capturar informações confidenciais do sistema.

A Conexão Dark Web

De acordo com os pesquisadores, existem mais de cem mil firewalls FortiGate expostos à Internet que estão sob o radar dos invasores e vulneráveis ​​à falha. Dado o grande número de produtos expostos, a vulnerabilidade foi classificada como crítica.

Hackers usam falha crítica para contornar produtos da Fortinet e comprometer organizações

Os pesquisadores suspeitam que dados confidenciais do sistema, informações de configuração e detalhes da rede possam ser compartilhados na Dark Web. Isso ocorre porque o invasor pode adicionar ou atualizar uma chave SSH pública válida para a conta de destino em um sistema e obter acesso total a esse sistema.

Além disso, o invasor pode lançar ataques adicionais contra o restante do ecossistema de TI da organização após obter informações por meio da exploração dessa falha. Eles estão distribuindo acesso inicial pela Dark Web, que tem sido usada em vários ataques de alto nível recentemente.