TI - CVE-2023-27997 - Fortigate SSL-VPN Pre-Authentication Remote Code Execution - 9.8

Beschreibung:

Fortigate SSL-VPN ist von einer nicht authentifizierten Remote Code Execution Schwachstelle betroffen. Angreifer können mit einer erfolgreichen Ausnutzung der Schwachstelle beliebige Programme auf der betroffenen Fortigate ausführen. Dies kann eine vollständige Kompromittierung zur Folge haben. Unser errechneter CVEv3.1 Score mit den aktuellen Informationen resultiert in 9.8 (https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1) MFA scheint laut aktuellen externen Meinungen nicht vor der Schwachstelle zu schützen. Sollte das SSL-VPN Feature deaktiviert sein, scheint die Schwachstelle nicht angreifbar zu sein. Der Hersteller Fortinet hat noch keine Details zur Schwachstelle zur Verfügung gestellt. Eine offizielle Veröffentlichung der Schwachstelle über das PSIRT ist laut externen Quellen mit 13.06.2023 geplant. Die bisherigen Quellen sind jedoch vertrauenswürdig genug, um eine Behandlung der Schwachstelle zu starten. Zum Zeitpunkt 12.06.2023, 10:00 Uhr gibt es noch keine öffentlich verfügbaren Exploits für die Schwachstelle CVE-2023-27997. Wir informieren, wenn es signifikante Änderungen der Situation geben sollte.

Betroffene Systeme:

Fortigate < 7.2.5 Fortigate < 7.0.12 Fortigate < 6.4.13 Fortigate < 6.2.15 Fortigate < 6.0.17

Behobene Versionen:

Fortigate >= 7.2.5 Fortigate >= 7.0.12 Fortigate >= 6.4.13 Fortigate >= 6.2.15 Fortigate >= 6.0.17

Empfohlene Maßnahmen:

Wir empfehlen die betroffenen Fortigate Appliances umgehend zu aktualisieren. Alternativ könnte auch das SSL-VPN Feature deaktiviert werden. Diese Maßnahme kann temporär bis zum Patch oder generell wenn nicht in Verwendung durchgeführt werden. Wenn Ihre Fortigates von der ACP gemanaged werden, müssen Sie keine weiteren aktiven Schritte einleiten.

Einschätzung der Bedrohung:

Aus unserer Sicht erscheinen Angriffe der Schwachstelle in naher Zukunft als sehr wahrscheinlich. Da die Patches öffentlich zur Verfügung stehen, können Angreifer mittels "Patch Diffing" Exploits für die Schwachstelle entwickeln. Fortigate SSL-VPN Schwachstellen wurden in der Vergangenheit in der Regel großflächig ausgenutzt. Die Verbreitung des SSL-VPN Features ist ebenfalls hoch.

Weiterführende Links:

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1 https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vpn-devices-patch-now/ https://thehackernews.com/2023/06/critical-rce-flaw-discovered-in.html https://twitter.com/cfreal_/status/1667852157536616451