CSIRT Panamá Aviso 2023-06-13 Análisis de CVE-2023-27997 y Aclaraciones sobre Campaña Volt Typhoon

Posted By: CSIRT Panamá June 13, 2023

CSIRT Panamá Aviso 2023-06-13 Análisis de CVE-2023-27997 y Aclaraciones sobre Campaña Volt Typhoon.
Gravedad: Alta
Fecha de publicación: junio 12, 2023

Plataformas afectadas:  FortiOS
Usuarios afectados:  Dirigido al gobierno, la fabricación y la infraestructura crítica

Impacto:  Pérdida de datos y corrupción de archivos y SO
https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign

Descripción:

El lunes 12 junio, Fortinet lanzó un Aviso PSIRT crítico de CVSS (FG-IR-23-097 / CVE-2023-27997) junto con otras correcciones relacionadas con SSL-VPN.

El siguiente artículo describe la investigación preliminar sobre la ocurrencia que resultó en el descubrimiento de esta vulnerabilidad y el IoC adicional descubierto durante el análisis en curso.

ID de incidente CVE NVDProductoGravedadDescripción
FG-IR-23-097CVE-2023-27997FortiOS9.2 (crítico)Desbordamiento del búfer de almacenamiento dinámico en la autenticación previa SSL-VPN
FG-IR-23-111CVE-2023-29180FortiOS7.3 (Alto)Eliminación de referencia de puntero nulo en SSLVPNd
FG-IR-22-475CVE-2023-22640FortiOS7.1 (Alto)FortiOS: escritura fuera de límite en SSLVPNd
FG-IR-23-119CVE-2023-29181FortiOS8.3 (Alto)Error de formato de cadena en el demonio Fclicense
FG-IR-23-125CVE-2023-29179FortiOS6.4 (Medio)Eliminación de referencia de puntero nulo en punto final de proxy SSLVPNd
FG-IR-22-479CVE-2023-22641FortiOS4.1 (Medio)Abrir redirección en SSLVPNd

Después del incidente anterior FG-IR-22-398 / CVE-2022-42475, que se reveló el 11 de enero de 2023, en el que se descubrió y explotó una puerta trasera basada en SSL VPN de FortiOS, el Equipo de respuesta a incidentes de seguridad de productos de Fortinet (PSIRT ) inició una auditoría activa del código del módulo SSL-VPN como parte del compromiso con la seguridad y la integridad del producto. Esta auditoría ayudó a identificar algunos problemas que se han solucionado en las versiones de firmware actuales, junto con una divulgación responsable de un investigador externo.

En la investigación descubrieron que una falla (FG-IR-23-097) pudo haber sido explotada en un pequeño número de casos, y estamos trabajando de cerca con los clientes para monitorear la situación.

Como resultado, si el cliente ha habilitado SSL-VPN, Fortinet recomienda que tome medidas inmediatas para actualizar a la versión de firmware más reciente. Si el cliente no utiliza SSL-VPN, se reduce el riesgo de esta vulnerabilidad; sin embargo, Fortinet aún recomienda actualizar.

Referencia a soluciones, herramientas e información:

Además de monitorear los avisos de seguridad y la aplicación inmediata de parches a los sistemas, Fortinet recomienda encarecidamente lo siguiente:

  • Revise sus sistemas en busca de evidencia de explotación de vulnerabilidades anteriores, por ejemplo,  FG-IR-22-377 / CVE-2022-40684
  • Mantenga una buena higiene cibernética y siga las recomendaciones de parches del proveedor
  • Siga las recomendaciones de endurecimiento, por ejemplo, la Guía de endurecimiento de FortiOS 7.2.0
  • Minimice la superficie de ataque desactivando funciones no utilizadas y administrando dispositivos a través de un método fuera de banda siempre que sea posible

https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124