资安业者Fortinet在今年的6月8日更新FortiOS操作系统,以修补旗下防火墙设备FortiGate的多个安全漏洞,其中风险最高的CVE-2023-27997在修补当时已遭到黑客利用,而根据另一资安业者Bishop Fox的调查, 在全球曝露于网络上的49万台FortiGate中,现今仍有多达33.6万台尚未修补该漏洞,占比69%。
CVE-2023-27997属于FortiOS SSL-预认证的堆积缓冲区溢位漏洞,允许远程程序攻击,在揭露当时已出现少数的目标式攻击行动,锁定政府、制造业及重大基础设施。 FortiGate为Fortinet第一个也是最主要的产品,Fortinet建议启用SSL-的FortiGate用户应立即部署最新操作系统,就算没有启用该功能的用户虽然可减轻风险,但最好也升级。
Bishop Fox的能力发展总监Caleb Gross指出,有别于坊间以SSL凭证进行搜寻,找到了全球25万台位于公开网路上的FortiGate,他们使用不同的搜索字串,利用Shodan发现49万台曝露SSL-界面的FortiGate,再检查这些设备的固件更新日期,却发现部署最新更新的只有153,414台,等于尚有69% 并未修补安全漏洞。
图片来源_Bishop Fox
Bishop Fox的调查还发现,有些FortiGate设备甚至有8年没更新了,亦有不少设备的生命周期已经结束,却依然运作着。
Bishop Fox为一攻击型资安业者,通过主动的模拟攻击来识别及减轻漏洞威胁,因此也已打造出CVE-2023-27997漏洞的攻击程序,以用来验证漏洞的存在与严重性,同时测试修补程序的有效性。 此一攻击程序在1秒内就执行完毕,成功建立与受骇系统的链接、下载了程序,并于受骇系统上开启了命令行界面。
