CVE-2023-27997 – Fortinet SSL-VPN kwetsbaarheid
13 juni 2023
Bron: Tenable, Access42, NCSC
Afgelopen vrijdag 9 juni 2023 heeft Fortinet patches beschikbaar gesteld voor FortiOS en FortiProxy. Deze patch mitigeert onder andere een kritische kwetsbaarheid welke bekend is onder CVE-2023-27997. Dit betreft een mogelijke Remote Code Execution (RCE) op het SSL-VPN component (end-user portal) van FortiOS en FortiProxy. Het is voor een aanvaller niet nodig om ingelogd te zijn om kwaardaardige code uit te voeren.
Dreiging
Op het moment van schrijven heeft Fortinet aangegeven dat de kwetsbaarheid mogelijk geëxploiteerd kan worden om Remote Code Execution (RCE) te krijgen op de Fortinet/FortiProxy appliance. UIt bronnen blijkt dat er al een werkende Denial-of-Service (DoS) exploit publiekelijk beschikbaar is om de Fortinet (SSL-VPN) appliance te kunnen laten crashen en/of rebooten.
Op het moment van schrijven is er nog geen werkende RCE exploit-code verschenen op het internet.
Achtergrond
De kwetsbaarheid werd ontdekt door beveiligingsonderzoekers Charles Fol en Dany Bach van LEXFO. Op zondag 11 juni tweette Fol over de beschikbaarheid van patches:
Advies
Fortinet adviseert het om FortiOS en FortiProxy te upgraden naar de laatste versie. Raadpleeg de leverancierspagina van Fortinet geregeld om te controleren of er nieuwe updates dan wel informatie beschikbaar is.
Tenable vulnerability detectie plugin
Tenable heeft een plugin beschikbaar gesteld voor de detectie van de kwetsbaarheid CVE-2023-27997. Daarnaast kan pluginID 73522 gebruikt worden om Fortinet apparaten binnen uw netwerk te identificeren.
Referenties:
Meer informatie
- https://advisories.ncsc.nl/advisory?id=NCSC-2023-0282
- https://www.tenable.com/blog/cve-2023-27997-heap-based-buffer-overflow-in-fortinet-fortios-and-fortiproxy-ssl-vpn-xortigate
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27997
- https://www.helpnetsecurity.com/2023/06/11/cve-2023-27997/
- https://olympecyberdefense.fr/1193-2/