Fortinet: Lỗi FortiOS RCE mới "có thể đã bị khai thác" trong các cuộc tấn công

CVE-2023-27997 được phát hiện trong quá trình kiểm tra mã của mô-đun SSL-VPN sau một loạt các cuộc tấn công gần đây khác  nhằm vào các tổ chức chính phủ khai thác lỗ hổng zero-day CVE-2022-42475 FortiOS SSL-VPN.

Vào thứ Sáu, Fortinet đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng trước khi tiết lộ các chi tiết bổ sung vào hôm nay.

Đây không phải là lần đầu tiên công ty đẩy các bản vá trước khi tiết lộ các lỗ hổng nghiêm trọng để khách hàng có thời gian bảo mật thiết bị của họ trước khi các tác nhân đe dọa đảo ngược thiết kế chúng để tạo ra các lỗ hổng.

"Cuộc điều tra của chúng tôi phát hiện ra rằng một vấn đề (FG-IR-23-097) có thể đã bị khai thác trong một số trường hợp hạn chế và chúng tôi đang hợp tác chặt chẽ với khách hàng để theo dõi tình hình", Fortinet cho biết trong một báo cáo được công bố hôm thứ Hai .

"Vì lý do này, nếu khách hàng đã bật SSL-VPN, Fortinet khuyên khách hàng nên hành động ngay lập tức để nâng cấp lên bản phát hành chương trình cơ sở mới nhất.

"Nếu khách hàng không vận hành SSL-VPN, rủi ro của sự cố này sẽ được giảm thiểu – tuy nhiên, Fortinet vẫn khuyên bạn nên nâng cấp."

Theo Shodan , hơn 250.000 tường lửa Fortigate đã bị lộ trên Internet  và rất có khả năng một số đáng kể hiện cũng dễ bị tấn công vì lỗi này ảnh hưởng đến tất cả các phiên bản phần sụn trước đó.

Kết nối Volt Typhoon

Mặc dù không đưa ra bất kỳ liên kết nào với các cuộc tấn công Bão Volt được tiết lộ gần đây nhắm vào các tổ chức cơ sở hạ tầng quan trọng trên khắp Hoa Kỳ, Fortinet đã đề cập đến khả năng nhóm gián điệp mạng Trung Quốc cũng có thể nhắm vào lỗ hổng CVE-2023-27997.

"Tại thời điểm này, chúng tôi không liên kết FG-IR-23-097 với chiến dịch Bão Volt, tuy nhiên, Fortinet hy vọng tất cả các tác nhân đe dọa, bao gồm cả những kẻ đứng sau chiến dịch Bão Volt, sẽ tiếp tục khai thác các lỗ hổng chưa được vá trong phần mềm và thiết bị được sử dụng rộng rãi." công ty cho biết.

"Vì lý do này, Fortinet kêu gọi giảm thiểu ngay lập tức và liên tục thông qua một chiến dịch vá tích cực."

Volt Typhoon được biết đến với việc xâm nhập vào các thiết bị Fortinet FortiGuard tiếp xúc với Internet thông qua lỗ hổng zero-day không xác định để có quyền truy cập vào mạng của các tổ chức trong nhiều lĩnh vực quan trọng.

Các tác nhân đe dọa cũng sử dụng các bộ định tuyến, tường lửa và thiết bị VPN bị xâm nhập từ nhiều nhà cung cấp để tránh bị phát hiện bằng cách đảm bảo hoạt động độc hại của chúng hòa trộn với lưu lượng mạng hợp pháp.

Fortinet cho biết hôm nay rằng họ chủ yếu nhắm mục tiêu các thiết bị chưa được vá CVE-2022-40684 , một lỗ hổng bỏ qua xác thực trong các thiết bị FortiOS / FortiProxy / FortiSwitchManager, để truy cập ban đầu.

Tuy nhiên, như đã đề cập trước đây, các tác nhân đe dọa cũng được cho là sẽ bắt đầu lạm dụng các lỗ hổng mới khi chúng được tiết lộ.

Theo : https://www.bleepingcomputer.com/news/security/fortinet-new-fortios-rce-bug-may-have-been-exploited-in-attacks/amp/