La vulnerabilità CVE-2023-27997 ha rappresentato una minaccia critica nel panorama della cybersecurity, colpendo i dispositivi Fortinet e mettendo a rischio la sicurezza di settori cruciali come quello governativo, manifatturiero e delle infrastrutture critiche.
Identificata dai ricercatori Charles Fol e Dany Bach, questa vulnerabilità ha esposto le aziende a rischi significativi, sottolineando l’importanza di una gestione efficace delle patch e di una valutazione accurata delle vulnerabilità.
Questo articolo ha come obiettivo quello di analizzare nel dettaglio la natura di CVE-2023-27997, il suo impatto sulle aziende, le misure di mitigazione proposte e l’importanza di una risposta tempestiva e informata alle minacce informatiche emergenti.
La vulnerabilità CVE-2023-27997 è stata scoperta dai ricercatori Charles Fol e Dany Bach. L’annuncio ufficiale riguardo la vulnerabilità è stato fatto il 12 giugno 2023, come riportato in vari articoli ma ad oggi la falla continua a generare caos nelle imprese di tutto il mondo.
Veniamo a noi.
La CVE-2023-27997 colpisce i firewall Fortinet che eseguono FortiOS con interfacce web SSL VPN esposte.
In particolare possiamo dirvi che le versioni di FortiOS interessate sono:
- 7.2.4 e precedenti
- 7.0.11 e precedenti
- 6.4.12 e precedenti
- 6.0.16 e precedenti.
Ma non è finita qui. Anche FortiProxy è interessato dal pericolo nelle seguenti versioni:
- 7.2.3 e precedenti
- 7.0.9 e precedenti
- 2.0.12 e precedenti
- tutte le versioni 1.2 e 1.1.
Stabilito chi sono gli oggetti colpiti, adesso analizziamo esattamente quanto sta accadendo.
La vulnerabilità CVE-2023-27997 è di tipo buffer overflow basato su heap nelle versioni di FortiOS e FortiProxy SSL-VPN.
Un buffer overflow basato su heap si verifica quando un programma scrive dati oltre i limiti di un buffer allocato nell’heap, una regione di memoria utilizzata per l’allocazione dinamica di dati. Questo può sovrascrivere dati in blocchi di memoria adiacenti, corrompendo o alterando i dati, puntatori o metadati dell’heap. Gli attaccanti possono sfruttare questi difetti per iniettare e eseguire codice malevolo, alterare il flusso di controllo del programma, o ottenere informazioni sensibili.
Ad ogni modo, la falla di sicurezza è stata classificata con una livello di criticità di 9.8 su 10: una vera e propria spada di Damocle.
Possiamo dunque affermare che il rischio per le aziende che utilizzano i software colpiti è altissimo.
Le vittime colpite dalla minaccia includono anche soggetti critici tra cui sistemi governativi, manifatturieri e infrastrutture critiche.
Il motivo che ha scatenato tanto allarme è dovuto alla quantità di dispositivi esposti alla minaccia.
In articolare, il ritardo nell’applicazione delle patch ha lasciato molti dispositivi vulnerabili accessibili via Internet, nonostante la rilascio di una patch di sicurezza da parte di Fortinet. L’azienda infatti, ha rilasciato gli aggiornamenti critici per mitigare la vulnerabilità CVE-2023-27997 già l’11 giugno 2023.
Nonostante questo, recenti stime hanno rivelato che oltre 300.000 firewall Fortinet erano vulnerabili e non patchati anche dopo un mese dalla divulgazione della vulnerabilità. Non contenti, si è scoperto che circa 490.000 interfacce SSL VPN fossero esposte su internet e di queste, il 69% di esse non correttamente aggiornato. Un numero impressionante di situazioni a rischio che dovrebbe far riflettere tutta la comunità IT su quanto sia necessario prendere posizione una volta per tutte sulla questione vulnerability management.
Impatto della vulnerabilità
Non per girare il coltello nella piaga ma l’impatto dell’exploit sull’azienda è disarmante.
L’exploit associato a questa vulnerabilità comporta:
- accessi non autorizzati
- possibili violazioni dei dati
- infiltrazioni di terzi nella rete e conseguente compromissione dell’infrastruttura critica.
L’exploit mira a rompere l’heap, stabilire una connessione con il server dell’attaccante, scaricare il binario BusyBox e aprire una shell interattiva, azioni che possono portare a conseguenze devastanti come la perdita di dati e la corruzione di file e sistemi operativi.
Vulnerability Assessment
Ecco perché aiuta le aziende a prevenire gli effetti delle vulnerabilità
La vulnerabilità CVE-2023-27997 può essere identificata attraverso i servizi di Vulnerability Assessment che verifica la presenza della vulnerabilità in un’istanza di FortiGate SSL VPN basandosi sul tempo di risposta.
Per prevenire questa vulnerabilità, è essenziale aggiornare il software alle versioni fornite dal produttore. Un assessment di vulnerabilità può aiutare le aziende a identificare e a mitigare tali vulnerabilità, fornendo una valutazione completa dello stato di sicurezza della rete e consigliando le misure preventive appropriate.
Contattaci!
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.