Bishop Fox desarrolló un exploit para CVE-2023-27997 – XORtigate, una vulnerabilidad de Heap Overflow en FortiOS, el sistema operativo detrás de los firewalls de FortiGate, que permite la ejecución remota de código. Hay 490.000 interfaces VPN SSL afectadas expuestas en Internet, y aproximadamente el 69% de ellas no están parcheadas actualmente. Deberías parchear el tuyo ahora.
El equipo de Bishop Fox creó un exploit para CVE-2023-27997. En la captura de pantalla muestra el exploit y como el atacante se conecta de nuevo a un servidor controlado por el atacante, descarga un BusyBox binario y abre una shell interactiva. Este exploit sigue muy de cerca los pasos detallados en la publicación de blog original de Lexfo.
Buscando en Shodan
Varios artículos publicados a raíz de la divulgación de esta vulnerabilidad han sugerido que una búsqueda de Shodan revela 250.000 firewalls FortiGate expuestos en Internet. Muchos de estos artículos usan la consulta ssl.cert.subject.cn:FortiGate
, que busca cualquier certificado SSL que se haya emitido para FortiGate. Pero, esta consulta no filtra específicamente las interfaces SSL VPN, que es donde reside esta vulnerabilidad. No encuentra dispositivos con certificados emitidos por alguien que no sea Fortinet (por ejemplo, certificados autofirmados, proxies inversos, etc.)
Para obtener mejores resultados, podemos buscar cualquier servidor que devuelva el encabezado de respuesta HTTP Server: xxxxxxxx-xxxxx
(curiosamente, parece ser una huella digital confiable para los dispositivos que ejecutan FortiOS) y luego filtrar aquellos que redirigen a /remote/login
, el ruta que expone la interfaz SSL VPN:
"Server: xxxxxxxx-xxxxx" http.html:"top.location=/remote/login
Esta consulta devuelve casi 490.000 interfaces SSL VPN expuestas, aproximadamente el doble de la cantidad que obtuvimos cuando solo buscamos en función del certificado SSL.
Encontrar dispositivos sin parchear
Al inspeccionar las imágenes de software publicadas por Fortinet, sabemos que las versiones parcheadas de FortiOS se empaquetaron entre mayo y junio de 2023. Si buscamos en Shodan esos dos meses en el encabezado de respuesta HTTP de última modificación, podemos encontrar dispositivos que han sido parcheados.
Si solo se parchearon 153.414 dispositivos en Internet, quedan 335.923 de 489.337 ~= 69% sin parchear.
Por ejemplo, en Argentina hay más de 4.800 dispositivos sin actualizar:
Fuente: Bishop Fox