Vulnerabilities

Risposta alle vulnerabilità critiche in FortiOS SSL VPN (CVE-2023-27997)

ResilientX

Una grave vulnerabilità recentemente divulgata nel prodotto FortiOS SSL VPN di Fortinet consente l'esecuzione di codice remoto non autenticato, consentendo agli hacker di bypassare l'autenticazione e ottenere il pieno controllo del sistema. Con un punteggio CVSS critico di 10, tutte le organizzazioni che utilizzano le versioni interessate di FortiOS SSL VPN dovrebbero agire tempestivamente per rilevare i sistemi vulnerabili e mitigare i rischi. Questo articolo fornisce un esame approfondito della vulnerabilità, come identificare i sistemi interessati e le migliori pratiche per la mitigazione e la correzione.

Comprensione degli impatti del CVE-2023-27997

La vulnerabilità, tracciata come CVE-2023-27997, esiste nel modulo di preautenticazione SSL VPN di FortiOS. Consente un heap overflow, un tipo di buffer overflow che causa il trasferimento dei dati in eccesso da una regione di memoria allocata alle regioni adiacenti nell'area di memoria heap. Sovraccaricando il buffer di memoria, gli aggressori possono sovrascrivere le posizioni di memoria adiacenti per inserire codice dannoso e alterare l'esecuzione del programma.

Lo sfruttamento efficace di questa vulnerabilità rimuove essenzialmente la barriera di autenticazione, consentendo agli aggressori remoti non autenticati di ottenere l'esecuzione arbitraria di codice sul sistema di destinazione. Qualsiasi rete o risorsa protetta dalla VPN SSL compromessa sarebbe quindi accessibile agli aggressori, il che comporterebbe gravi violazioni dei dati, attacchi ransomware, danni al sistema e altre attività dannose.

La facilità con cui questa vulnerabilità può essere sfruttata e i gravi impatti potenziali sono il motivo per cui ha ricevuto un punteggio CVSS di 10, il massimo sulla scala. Una vulnerabilità CVSS 10 è incredibilmente pericolosa, difficile da difendersi e deve essere risolta immediatamente.

Sebbene le VPN SSL siano progettate per fornire soluzioni di accesso remoto sicure per le organizzazioni, una vulnerabilità di pre-autenticazione sovverte completamente questa sicurezza. Consente a qualsiasi utente malintenzionato su Internet di accedere senza credenziali, poiché il livello di autenticazione viene bypassato. Ciò rende gli attacchi molto più difficili da rilevare in base a accessi anomali o uso improprio delle credenziali.

La divulgazione della vulnerabilità indica che la falla può essere sfruttata in remoto senza l'interazione dell'utente, aumentando le vie di attacco. Gli aggressori avrebbero semplicemente bisogno dell'accesso alla rete e della possibilità di inviare pacchetti appositamente predisposti a un'interfaccia VPN SSL vulnerabile per attivare l'heap overflow e ottenere l'esecuzione di codice in modalità remota.

Una volta rimosso il gate di autenticazione, gli attacchi possono procedere rapidamente e furtivamente direttamente all'esfiltrazione dei dati, alla crittografia a scopo di riscatto, alla distruzione dei sistemi o all'ulteriore spostamento laterale nella rete. Le organizzazioni che si affidano a queste VPN SSL per un accesso remoto sicuro devono affrontare immediatamente questa vulnerabilità per evitare potenziali catastrofi.

Determinazione delle versioni FortiOS interessate

Secondo i dettagli sulla vulnerabilità rilasciati da Fortinet, le seguenti versioni di FortiOS e FortiProxy sono affette da CVE-2023-27997:

  • FortiOS 6.0.x - 6.0.17 e versioni successive sono vulnerabili
  • FortiOS 6.2.x - 6.2.14 e versioni precedenti sono vulnerabili
  • FortiOS 6.4.x - 6.4.13 e versioni precedenti sono vulnerabili
  • FortiOS 7.0.x - 7.0.12 e versioni successive sono vulnerabili
  • FortiOS 7.2.x - 7.2.5 e versioni precedenti sono vulnerabili
  • FortiOS 7.4.x - 7.4.0 e versioni successive sono vulnerabili
  • FortiProxy 2.0.x - 2.0.13 e versioni precedenti sono vulnerabili
  • FortiProxy 7.0.x - 7.0.10 e versioni precedenti sono vulnerabili
  • FortiProxy 7.2.x - 7.2.4 e versioni precedenti sono vulnerabili

Qualsiasi organizzazione che utilizza queste versioni di FortiOS o FortiProxy nel proprio ambiente potrebbe avere sistemi vulnerabili e sfruttabili che devono essere risolti. Il primo passo è confermare quali versioni sono utilizzate attivamente nell'infrastruttura.

Rilevamento di sistemi FortiOS vulnerabili

Per rilevare i sistemi potenzialmente interessati, è possibile adottare alcuni approcci:

  • Controlla la versione del firmware riportata nella CLI di FortiOS usando il comando:

diagnosticare lo stato del servizio sys fortiguard

  • Esamina tutte le note di rilascio o i record di aggiornamento di FortiOS disponibili per determinare le versioni storiche
  • Scansiona gli inventari dei dispositivi e i database di gestione delle configurazioni per identificare i prodotti SSL VPN e le versioni del firmware, ove disponibili
  • Esegui scansioni non invasive della superficie di attacco esterna per rilevare le interfacce VPN SSL che potrebbero essere interessate
  • Interroga gli amministratori di FortiOS per confermare le versioni in uso nell'ambiente

Una volta identificate le versioni vulnerabili, è necessario intervenire per eliminare l'esposizione. Tutti i sistemi che utilizzano ancora una delle versioni interessate elencate devono essere considerati a rischio imminente fino a quando non verranno corretti o mitigati.

Mitigazione dei rischi del CVE-2023-27997

Per qualsiasi dispositivo e sistema SSL VPN vulnerabile rilevato, le organizzazioni dovrebbero adottare queste misure per mitigare i rischi:

Aggiornamento a una versione firmware FortiOS con patch

La soluzione più efficace consiste nell'aggiornare i dispositivi vulnerabili a una versione del firmware con patch che risolva CVE-2023-27997. Le seguenti versioni di FortiOS sono state corrette in base a Fortinet:

  • FortiOS 6.0.x - Aggiornamento a 6.0.17 o successivo
  • FortiOS 6.2.x - Aggiornamento a 6.2.15 o successivo
  • FortiOS 6.4.x - Aggiornamento a 6.4.13 o successivo
  • FortiOS 7.0.x - Aggiornamento a 7.0.12 o successivo
  • FortiOS 7.2.x - Aggiornamento a 7.2.5 o successivo
  • FortiOS 7.4.x - Aggiornamento a 7.4.0 o successivo

E sono disponibili queste versioni patchate di FortiProxy:

  • FortiProxy 2.0.x - Aggiornamento a 2.0.13 o successivo
  • FortiProxy 7.0.x - Aggiornamento a 7.0.10 o successivo
  • FortiProxy 7.2.x - Aggiornamento a 7.2.4 o successivo

L'aggiornamento a queste ultime versioni del firmware con patch risolverà completamente la vulnerabilità e proteggerà tutti i dispositivi interessati. Le organizzazioni dovrebbero seguire i propri processi di gestione delle modifiche per aggiornare i dispositivi, testare le funzionalità e pianificare le finestre di manutenzione con interruzioni minime.

Disattiva i servizi VPN SSL

Se non è possibile aggiornare immediatamente un dispositivo FortiOS vulnerabile, le organizzazioni dovrebbero disabilitare i servizi SSL VPN sull'appliance per ridurre la superficie di attacco.

Fai riferimento alla knowledge base di Fortinet per istruzioni su come disabilitare completamente le connessioni SSL VPN per la tua versione del firmware. Ciò comporta in genere la rimozione del portale Web di accesso remoto VPN > SSL-VPN dalla GUI o l'impostazione «impostazione del certificato vpn» o del «servizio sslvpn» su «disabilita» tramite comandi CLI.

L'avvenuta disattivazione può essere convalidata quando gli utenti remoti non sono più in grado di accedere alla pagina di accesso SSL VPN per l'appliance. Questo elimina il vettore di attacco fino a quando non è possibile eseguire gli aggiornamenti del firmware. Tuttavia, tieni presente che potrebbero ancora esistere altre vulnerabilità, quindi l'aggiornamento è ancora la migliore difesa.

Configurazioni dei dispositivi Harden

Dopo aver aggiornato le appliance vulnerabili, le organizzazioni dovrebbero rafforzare le proprie configurazioni FortiOS seguendo le best practice consigliate da Fortinet per l'igiene della sicurezza. Questi includono passaggi come:

  • Sicurezza fisica degli apparecchi
  • Abilitare il monitoraggio delle vulnerabilità tramite PSIRT
  • Politiche di aggiornamento del firmware
  • Uso di protocolli crittografati
  • Servizi di database FortiGuard aggiornati
  • Test di penetrazione di routine
  • Prevenzione degli attacchi DDoS
  • Criteri e archiviazione delle password

L'applicazione proattiva di queste misure di rafforzamento della sicurezza riduce la superficie complessiva di attacco e il rischio di exploit. Fortinet fornisce istruzioni dettagliate per ogni raccomandazione a cui le organizzazioni possono fare riferimento e implementare.

Monitora il traffico VPN

Fino a quando le misure di mitigazione non saranno completamente implementate, i team di sicurezza IT dovrebbero monitorare attentamente le applicazioni SSL VPN, il traffico di rete e i log di sistema per individuare eventuali segnali di tentativi di exploit o altre attività sospette.

Picchi improvvisi di traffico, schemi di connessione anomali, user agent sconosciuti o indirizzi IP sconosciuti che interagiscono con la VPN SSL potrebbero indicare che lo sfruttamento è in corso o è già in corso. La raccolta di queste prove forensi può aiutare a identificare se una compromissione è già avvenuta con successo.

Aggiungi controlli di compensazione

Sebbene l'aggiornamento di dispositivi e servizi sia la soluzione principale, è possibile prendere in considerazione anche ulteriori controlli di compensazione. Ad esempio, l'implementazione dell'autenticazione a più fattori (MFA) per le connessioni VPN richiederebbe comunque agli aggressori di disporre di un fattore aggiuntivo oltre allo sfruttamento della vulnerabilità.

L'MFA non correggerà la vulnerabilità ma potrebbe impedire alcuni compromessi. Anche altri controlli, come la registrazione avanzata, gli avvisi, la microsegmentazione per limitare i movimenti laterali e consentire il traffico VPN solo da endpoint gestiti, potrebbero contribuire a limitare i danni fino a quando i sistemi non saranno completamente corretti.

Monitoraggio continuo degli asset vulnerabili

Per evitare punti ciechi intorno a vulnerabilità emergenti come CVE-2023-27997, le organizzazioni dovrebbero implementare il monitoraggio continuo e la scansione non intrusiva della loro superficie di attacco esterna e delle risorse esposte sconosciute.

Le piattaforme di gestione delle superfici di attacco basate sul cloud possono scoprire automaticamente i sistemi connessi a Internet e confrontarli con software vulnerabili noti. Ciò consente ai team di sicurezza di identificare e porre rimedio più rapidamente agli asset a rischio.

Mantenendo la visibilità in tempo reale dei sistemi esposti e delle versioni del software in uso, le organizzazioni possono migliorare notevolmente i tempi di risposta quando vengono rivelate nuove minacce. Possono verificare istantaneamente eventuali impatti e adottare le misure di mitigazione appropriate prima che si verifichino incidenti.

Costruire in modo proattivo questo livello di consapevolezza situazionale sulle vulnerabilità nell'ambiente può rafforzare notevolmente la propensione al rischio e la resilienza dell'organizzazione. Affidarsi alla scansione periodica o alla revisione manuale delle configurazioni non garantisce la stessa velocità di rilevamento e risposta.

L'integrazione della visibilità e del monitoraggio della superficie di attacco nei flussi di lavoro e negli strumenti esistenti come ticket di richiesta di assistenza, canali Slack, piattaforme SIEM ecc. garantisce inoltre che i sistemi vulnerabili non vengano trascurati. Gli avvisi automatici possono essere incanalati attraverso i processi appropriati per favorire una rapida risoluzione.

Conclusione

La gravità critica e la facilità di sfruttamento della vulnerabilità VPN SSL CVE-2023-27997 FortiOS comportano un grave rischio per qualsiasi organizzazione con un'implementazione vulnerabile. Tutti i sistemi interessati potrebbero consentire agli aggressori di infiltrarsi nelle reti e causare danni.

Comprendendo in che modo questa vulnerabilità aggira l'autenticazione, identificando le versioni interessate e applicando mitigazioni come l'aggiornamento, la disabilitazione dei servizi e il rafforzamento delle configurazioni, le aziende possono eliminare l'esposizione creata da questo difetto.

Il monitoraggio proattivo continuo per questi tipi di rischi è fondamentale anche per una risposta rapida. Con l'aumento degli ambienti ibridi e la crescente dipendenza da dispositivi come le VPN SSL per l'accesso remoto, continueranno a sorgere vulnerabilità. Lo sviluppo di programmi efficaci per la gestione delle vulnerabilità, la visibilità della superficie di attacco, l'analisi dei log e l'applicazione di patch contribuirà a ridurre i rischi aziendali.

Related Blog Posts
No items found.
Related Blog Posts
CVE-2024-5217: A Technical Deep Dive into ServiceNow’s Critical RCE Vulnerability
Read full article
Il bug RegressHion: un'analisi approfondita di CVE-2024-6387 in OpenSSH
La scoperta di CVE-2024-6387, noto come bug RegressHion...
Read full article
CVE-2023-4863: una guida completa
CVE-2023-4863 è una vulnerabilità significativa scoperta in...
Read full article