En una revelación alarmante para la comunidad de ciberseguridad, se ha reconocido con el identificador CVE-2023-27997, permite la explotación de los dispositivos y ha revelado que un preocupante 69 % de los firewalls de FortiGate se encuentran expuestos a esta amenaza.
CVE-2023-27997 representa una seria brecha en la seguridad de los firewalls de FortiGate, lo que pone en riesgo a un gran número de organizaciones que confían en estos dispositivos para proteger sus redes y datos sensibles.
La explotación exitosa de esta vulnerabilidad podría dar lugar a consecuencias devastadoras, incluyendo la filtración de información confidencial, el compromiso de sistemas internos y la pérdida de control sobre la infraestructura de red.
Esta situación presenta un peligro significativo, ya que aquellos que logren explotar esta vulnerabilidad podrían comprometer la integridad de las defensas de seguridad, permitiendo el tráfico no autorizado o incluso facilitando el acceso a otros sistemas internos.
La preocupación se ve agravada por la escala del problema, ya que según las últimas evaluaciones de seguridad, se estima que aproximadamente el 69 % de los firewalls de FortiGate están en riesgo de ser explotados. Esta cifra alarmante destaca la necesidad inmediata de que las organizaciones que utilizan estos dispositivos tomen medidas proactivas para mitigar el riesgo y proteger sus infraestructuras de red.
Los investigadores de seguridad y expertos en ciberseguridad instan a las organizaciones que utilizan los firewalls de FortiGate a que tomen acción inmediata. Se recomienda encarecidamente que las organizaciones verifiquen si sus dispositivos son vulnerables y apliquen los parches y actualizaciones de seguridad correspondientes proporcionados por Fortinet, el fabricante de los firewalls de FortiGate. Además, se recomienda revisar las configuraciones y políticas de seguridad, así como implementar medidas adicionales de seguridad en capas para reforzar las defensas contra posibles ataques.
CVE-2023-27997 representa una seria amenaza para la seguridad de los firewalls de FortiGate, con un alarmante porcentaje de dispositivos vulnerables. La explotación de esta vulnerabilidad podría tener graves consecuencias para las organizaciones afectadas, incluyendo la exposición de información confidencial y la pérdida de control sobre sus sistemas críticos.
Es fundamental que las organizaciones tomen medidas inmediatas para protegerse y mitigar el riesgo asociado con esta vulnerabilidad crítica.
La seguridad de la red y la protección de los datos sensibles deben ser prioridades absolutas en este momento.
En un desarrollo extremadamente preocupante, la reconocida firma de seguridad Bishop Fox ha creado un exploit interno para aprovechar la vulnerabilidad CVE-2023-27997 presente en FortiOS, el sistema operativo subyacente de los firewalls de FortiGate. Esta vulnerabilidad, que involucra un desbordamiento de montón, permite la ejecución remota de código y pone en peligro a un alarmante número de aproximadamente 490,000 interfaces VPN SSL expuestas en Internet.
El exploit desarrollado por Bishop Fox es una demostración clara de la gravedad de la situación. Dado que aproximadamente el 69 % de estas interfaces VPN SSL aún no han sido parcheadas, la amenaza a la que se enfrentan las organizaciones es inmensa. La explotación exitosa de CVE-2023-27997 permitiría a los atacantes ejecutar código de forma remota, comprometiendo así la integridad y la confidencialidad de las redes y los datos sensibles.
La magnitud del problema se hace evidente al considerar el número de interfaces VPN SSL afectadas que están expuestas en Internet. Con casi medio millón de interfaces vulnerables, las organizaciones que confían en los firewalls de FortiGate y utilizan estas interfaces para sus conexiones remotas enfrentan un riesgo sustancial. Los datos expuestos podrían incluir información confidencial, credenciales de inicio de sesión y otros datos críticos, lo que podría conducir a consecuencias graves, como el acceso no autorizado a sistemas internos y el robo de información sensible.
En vista de esta situación alarmante, se insta encarecidamente a todas las organizaciones que utilizan interfaces VPN SSL en sus firewalls de FortiGate a tomar medidas inmediatas. Es imperativo que se apliquen los parches y las actualizaciones de seguridad proporcionadas por Fortinet, el fabricante de los firewalls de FortiGate, para mitigar esta vulnerabilidad crítica.
Además, se recomienda encarecidamente a las organizaciones que revisen su configuración y políticas de seguridad relacionadas con las interfaces VPN SSL.
Es fundamental implementar medidas adicionales de seguridad en capas, como autenticación multifactor y monitoreo de tráfico, para fortalecer las defensas contra posibles ataques y reducir aún más el riesgo de explotación.
La gravedad de esta advertencia no puede ser subestimada
La ejecución remota de código a través de CVE-2023-27997 en FortiOS plantea una amenaza inmediata y real a la seguridad de las organizaciones que utilizan los firewalls de FortiGate.
Actuar con prontitud para parchear y proteger las interfaces VPN SSL es esencial para salvaguardar la integridad de la red y los datos sensibles. No se debe tomar a la ligera la importancia de esta advertencia.
El equipo de desarrollo de capacidades de Bishop Fox creó un exploit para CVE-2023-27997 que usan continuamente para evaluar a los clientes de Cosmos.
En la captura de pantalla anterior, nuestro exploit rompe el montón, se conecta de nuevo a un servidor controlado por el atacante, descarga un binario BusyBox y abre un shell interactivo.
Este exploit sigue muy de cerca los pasos detallados en la publicación de blog original de Lexfo, aunque tuvieron que tomar algunos pasos adicionales que no se mencionaron en la publicación.
El exploit se ejecuta en aproximadamente un segundo, que es significativamente más rápido que el video de demostración en un dispositivo de 64 bits mostrado por Lexfo.
SHODAN con truco
La cifra obtenida a través de la consulta en Shodan es impactante y refuerza la gravedad de la situación. Con casi 490,000 interfaces SSL VPN expuestas en Internet, la magnitud del problema se vuelve aún más preocupante. Esta vulnerabilidad en los firewalls de FortiGate representa un riesgo significativo para la seguridad cibernética de las organizaciones que utilizan estos dispositivos para sus conexiones remotas.
Es importante resaltar que la consulta utilizada en Shodan busca específicamente aquellos servidores que devuelven el encabezado de respuesta HTTP “Server: xxxxxxxx-xxxxx”, que se ha identificado como una huella digital confiable para dispositivos que ejecutan FortiOS.
Además, el filtro adicional de redireccionar a “/remote/login”, la ruta que expone la interfaz SSL VPN, permite encontrar interfaces específicas donde reside la vulnerabilidad CVE-2023-27997.
Esta información pone de manifiesto la necesidad urgente de que las organizaciones tomen medidas inmediatas para protegerse contra posibles ataques.
Aplicar parches y actualizaciones de seguridad proporcionados por Fortinet y realizar configuraciones adecuadas son pasos esenciales para mitigar la amenaza.
Asimismo, es recomendable implementar medidas adicionales de seguridad en capas, como autenticación multifactor y monitoreo de tráfico, para fortalecer las defensas y proteger la integridad de la red y los datos sensibles.
El aumento significativo en el número de interfaces SSL VPN expuestas destaca la importancia de que las organizaciones sean proactivas en su enfoque de seguridad cibernética y estén preparadas para hacer frente a amenazas emergentes.
La colaboración entre la comunidad de ciberseguridad y los fabricantes de dispositivos también es fundamental para abordar este tipo de vulnerabilidades críticas y salvaguardar la infraestructura digital de manera efectiva.
Esta revelación es motivo de gran preocupación, ya que destaca una brecha de seguridad persistente en los firewalls FortiGate utilizados por numerosas organizaciones.
Aquellas que aún no han aplicado los parches correspondientes corren el riesgo de sufrir ataques y comprometer la integridad de sus redes y datos sensibles.
Ubicando a los que no parcharon aún
A pesar de los esfuerzos de divulgación y las recomendaciones emitidas por Fortinet para aplicar los parches de seguridad, la falta de adopción de las actualizaciones adecuadas continúa siendo una realidad alarmante.
Las consecuencias potenciales de esta falta de acción son graves, incluyendo la exposición de información confidencial, el acceso no autorizado a sistemas internos y el robo de datos sensibles.
En vista de esta situación crítica, se insta encarecidamente a todas las organizaciones que utilizan firewalls FortiGate a tomar medidas inmediatas para protegerse contra la vulnerabilidad CVE-2023-27997.
Aplicar los parches y las actualizaciones de seguridad proporcionados por Fortinet es crucial para salvaguardar la integridad de la red y proteger los datos corporativos.
Además, es fundamental que las organizaciones realicen evaluaciones internas de seguridad, consulten directamente con los fabricantes y proveedores de servicios, y sigan las mejores prácticas de seguridad recomendadas para mitigar aún más los riesgos.
La seguridad cibernética debe ser una prioridad absoluta en un entorno donde las amenazas evolucionan rápidamente.
La falta de acción en la aplicación de parches y actualizaciones representa una seria amenaza para las organizaciones que dependen de los firewalls FortiGate.
No se puede subestimar la importancia de actuar de manera decisiva para proteger la infraestructura de red y garantizar la seguridad de los datos.
La brecha de seguridad persistente debe abordarse con urgencia, y la adopción de medidas de seguridad adecuadas es esencial para protegerse contra posibles ataques cibernéticos devastadores.
Si buscamos en Shodan esos dos meses en el encabezado de respuesta HTTP Última modificación, podemos encontrar dispositivos parcheados.
En la siguiente consulta, asumimos que la mitad de los dispositivos con instalaciones basadas en mayo están parcheadas (hay algunas versiones superpuestas en este período) y todas las instalaciones basadas en junio están parcheadas.
$ secuencia 01 31 | paralelo ‘printf “2023-05-%02d\n2023-06-%02d\n” {} {}’ | paralelo ‘fecha -d {} “+Última modificación: %a, %d %b %Y” 2>/dev/null’ | paralelo –bar ‘shodan count “\”Servidor: xxxxxxxx-xxxxx\” http.html:\”top.location=/remote/login\” \”{}\”” | tr “\n” ” “; eco {}’ | awk ‘{if ($0 ~ /mayo/) {SUMA += $1 / 2} else {SUMA += $1}} END {imprimir SUMA}’ 153414
La situación se vuelve aún más alarmante cuando se examinan visualmente las instalaciones de FortiOS en Internet, representadas por los valores del encabezado “Última modificación”. De acuerdo con los datos obtenidos, solo se han parcheado aproximadamente 153,414 dispositivos, lo que equivale a tan solo el 31% del total de dispositivos identificados.
Esto significa que un preocupante 69% de los dispositivos FortiGate permanecen sin recibir los parches necesarios para protegerse contra la vulnerabilidad CVE-2023-27997. Esta falta de acción por parte de las organizaciones representa un riesgo significativo para su seguridad cibernética y la integridad de sus redes y datos.
Es evidente que queda un largo camino por recorrer para abordar esta brecha de seguridad persistente.
Es esencial que las organizaciones tomen medidas inmediatas para aplicar los parches y las actualizaciones de seguridad proporcionados por Fortinet.
Además, deben fortalecer sus medidas de seguridad y adoptar prácticas recomendadas para mitigar los riesgos cibernéticos asociados.
La falta de parches adecuados deja a las organizaciones expuestas a posibles ataques y explotaciones de esta vulnerabilidad crítica.
Es fundamental que se tome conciencia de la urgencia de esta situación y se implementen medidas de seguridad adecuadas para proteger la infraestructura de red.
La seguridad cibernética debe ser una prioridad máxima en el entorno actual, donde las amenazas evolucionan constantemente. No se puede subestimar la importancia de la acción inmediata para garantizar la protección de los sistemas y datos vitales.
La falta de parches y actualizaciones adecuadas solo aumenta la probabilidad de consecuencias devastadoras para las organizaciones afectadas.
Es imprescindible que se tomen todas las medidas necesarias para cerrar esta brecha de seguridad y protegerse contra futuros ataques. Solo a través de una respuesta activa y decidida se podrá garantizar la seguridad y la integridad en el ciberespacio.
El gráfico anterior muestra claramente las instalaciones de FortiOS agrupadas en torno al otoño de 2022 y el invierno de 2023, lo que indica una respuesta activa de las organizaciones para aplicar los parches correspondientes, posiblemente en respuesta a la vulnerabilidad CVE-2022-42475. También se observa un pequeño pico cerca de la fecha en que se lanzó el parche para CVE-2023-27997 en el verano de 2023.
Sin embargo, es importante destacar que existen valores atípicos anteriores a 2018 que no son fácilmente visibles en esta vista lineal del gráfico. Para obtener una visión más completa y comprensible de la distribución de las instalaciones de FortiOS a lo largo del tiempo, se ha adoptado una vista logarítmica.
La vista logarítmica proporciona una perspectiva más equilibrada y permite observar con mayor detalle las instalaciones de FortiOS en un período más amplio. Esto revela de manera más clara la presencia de instalaciones anteriores que aún no han recibido los parches necesarios para abordar las vulnerabilidades conocidas.
Estos valores atípicos en el pasado representan un riesgo significativo, ya que indican la existencia de dispositivos que están desactualizados y, por lo tanto, más vulnerables a posibles ataques.
La presencia de instalaciones no parcheadas durante tanto tiempo destaca la importancia de implementar prácticas de seguridad sólidas y mantener una postura proactiva en la aplicación de parches y actualizaciones.
La vista logarítmica nos brinda una imagen más completa y reveladora de las instalaciones de FortiOS a lo largo del tiempo.
Es evidente que hay una necesidad crítica de abordar las instalaciones más antiguas y asegurarse de que todas las organizaciones apliquen los parches y actualizaciones necesarios para protegerse contra las vulnerabilidades conocidas.
La existencia de dispositivos que ejecutan versiones antiguas de FortiOS en Internet, incluso después de varios años, es una preocupación válida en términos de seguridad cibernética. Estos dispositivos desactualizados pueden representar un riesgo significativo debido a la falta de actualizaciones de seguridad y la ausencia de protecciones contra vulnerabilidades conocidas.
Es comprensible que se muestre reticencia al interactuar con estos dispositivos, ya que su exposición a amenazas y ataques es considerablemente mayor que los dispositivos que se mantienen actualizados.
Dado que estas instalaciones antiguas pueden carecer de las correcciones necesarias para abordar las vulnerabilidades conocidas, es esencial tomar medidas adicionales para proteger la infraestructura y los datos de la organización.
Recomendaríamos encarecidamente a las organizaciones que actualicen y mantengan al día sus sistemas FortiOS para mitigar riesgos y garantizar la seguridad cibernética.
Además, es fundamental seguir las mejores prácticas de seguridad, como implementar firewalls y soluciones de detección de intrusos, así como llevar a cabo evaluaciones regulares de seguridad y revisiones de configuración para identificar posibles puntos débiles.
En última instancia, la seguridad cibernética debe ser una prioridad constante, y la adopción de medidas proactivas para mantener los sistemas actualizados y protegidos es crucial para salvaguardar los activos digitales y minimizar los riesgos asociados con las instalaciones desactualizadas.
Esclarecimiento sobre las versiones de FortiOS
Para realizar un análisis más detallado, hemos examinado las imágenes de software lanzadas por Fortinet y hemos asignado fechas específicas a las versiones principales de FortiOS.
Nos centraremos en esta ocasión en los firewalls FortiGate. El siguiente gráfico es similar al que se presentó anteriormente, pero cada barra apilada está coloreada para mostrar la distribución de las principales versiones de FortiOS en cada mes.
Es importante tener en cuenta que este conjunto de datos se basa en una muestra más pequeña de dispositivos, ya que está limitado por nuestra capacidad para obtener huellas dactilares de versiones principales específicas.
Sin embargo, podemos inferir que estas muestras son representativas de las distribuciones de versiones observadas en Internet.
El gráfico proporciona una visualización clara de las diferentes versiones de FortiOS que se encuentran en uso. Se puede observar cómo las diferentes versiones se distribuyen en el tiempo, lo que indica la adopción de nuevas versiones y la persistencia de versiones antiguas.
Es importante destacar que el uso de versiones antiguas de FortiOS puede aumentar los riesgos de seguridad, ya que estas versiones pueden contener vulnerabilidades conocidas y carecer de las mejoras y correcciones de seguridad más recientes. La presencia de versiones desactualizadas es motivo de preocupación y destaca la necesidad de implementar políticas y prácticas que promuevan la actualización regular de los sistemas.
Es recomendable que las organizaciones revisen cuidadosamente la versión de FortiOS que están utilizando y, si se encuentran utilizando una versión anterior, consideren la actualización a la versión más reciente.
Esto les permitirá aprovechar las mejoras de seguridad y las correcciones de vulnerabilidades que se incluyen en las últimas versiones del sistema operativo.
Además, es fundamental que las organizaciones implementen un proceso sólido de gestión de parches y actualizaciones para garantizar que todos los dispositivos estén al día y protegidos contra las amenazas actuales.
La seguridad cibernética debe ser una prioridad constante y la actualización regular del software es una de las medidas clave para mantener una postura de seguridad sólida.
Al hacerlo, las organizaciones pueden reducir significativamente la superficie de ataque y mitigar los riesgos asociados con las vulnerabilidades conocidas en las versiones antiguas de FortiOS.
En el análisis detallado, se observa que hay una presencia significativa de la versión 7 de FortiOS, que fue lanzada a principios de 2021. Además, se observa una gran cantidad de dispositivos que aún utilizan la versión 6 de FortiOS, la cual está llegando gradualmente al final de su vida útil.
Sin embargo, es intrigante notar la presencia de pequeños fragmentos azules apenas visibles en el lado izquierdo del gráfico. Para obtener una mejor comprensión de estos fragmentos y su distribución, podemos recurrir nuevamente a la vista logarítmica.
La vista logarítmica proporciona una escala más equilibrada, lo que nos permite apreciar los valores más pequeños con mayor claridad. Al observar el gráfico en esta vista, se revelan los fragmentos azules anteriormente imperceptibles.
Estos fragmentos representan versiones aún más antiguas de FortiOS que persisten en un número reducido de dispositivos. Aunque son una minoría en comparación con las versiones más recientes, su presencia indica que todavía hay organizaciones que utilizan versiones muy antiguas de FortiOS.
La persistencia de estas versiones antiguas es preocupante desde una perspectiva de seguridad, ya que es probable que contengan vulnerabilidades conocidas y carezcan de las mejoras y correcciones de seguridad más recientes.
Por lo tanto, es esencial que las organizaciones que aún utilizan versiones antiguas de FortiOS tomen medidas inmediatas para actualizar a las versiones más recientes. Esto les permitirá beneficiarse de las mejoras de seguridad y las correcciones de vulnerabilidades proporcionadas por Fortinet.
Además, se recomienda que las organizaciones establezcan una política sólida de gestión de versiones y actualizaciones, que incluya la planificación regular de actualizaciones y la evaluación de la compatibilidad de las nuevas versiones con los sistemas y las aplicaciones existentes.
La seguridad cibernética evoluciona rápidamente, y mantener los sistemas actualizados es fundamental para mitigar los riesgos asociados con las vulnerabilidades conocidas. Al hacerlo, las organizaciones pueden fortalecer su postura de seguridad y proteger sus activos digitales de manera más efectiva.
Si usted es propietario de un firewall FortiGate u otro dispositivo que utiliza la tecnología de FortiOS, es de vital importancia seguir las recomendaciones y avisos emitidos por Fortinet con respecto a esta vulnerabilidad. La actualización del firmware es una medida fundamental para proteger su dispositivo contra posibles ataques y asegurar un entorno más seguro.
Le instamos encarecidamente a que tome acción inmediata y actualice el firmware de su dispositivo según las directrices proporcionadas por Fortinet.
Esto le permitirá beneficiarse de las correcciones de seguridad y mitigar los riesgos asociados con la vulnerabilidad CVE-2023-27997.
Mantener sus dispositivos actualizados es una práctica fundamental en la seguridad cibernética. Asegúrese de seguir las instrucciones proporcionadas por el fabricante, descargue e instale las actualizaciones disponibles y realice comprobaciones periódicas para asegurarse de que sus sistemas estén protegidos contra las últimas amenazas.
Recuerde que su seguridad cibernética es un esfuerzo continuo y requiere una atención constante. Manténgase informado sobre las últimas actualizaciones y buenas prácticas en ciberseguridad, y tome medidas proactivas para proteger su infraestructura y datos.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en
Check Point Research: actividad de actores chinos en 2023
Zero Trust: 5 Beneficios y Desafíos en Seguridad y Experiencia del Usuario
SOC 2 Tipo 2 – Control de Organización de Servicios: Kaspersky superó la auditoría
VANGUARD PANDA: usan webshells y biblioteca de Tomcat con 1 backdoor
SolarWinds demandada por ataque Orion 2020
CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997, CVE-2023-27997,