Fortinet 发布重要安全更新以修复远程代码执行漏洞

关键要点

• Fortinet推出新的固件更新，修复了Fortigate SSL-VPN设备上的关键性未公开的预认证远程代码执行（RCE）漏洞。
• 法国研究机构Olympe Cyberdefense首次揭示该漏洞，指出即使启用了多因素认证，恶意用户依然可以通过VPN进行攻击。
• Fortinet针对多个版本的FortiOS发布了补丁，包括7.0.12、7.2.5、6.4.13和6.2.15版本。
• 该漏洞命名为，并被评为严重等级，CVSS评分为9.8。

在最近的一篇，法国的OlympeCyberdefense指出，这一漏洞可能允许“敌对代理在VPN上进行干扰，即使多因素认证被激活。”

研究人员表示，对于以下FortiOS版本，已发布补丁：7.0.12、7.2.5、6.4.13和6.2.15，他们预计在6月13日会有更多细节发布。

Fortinet通常在公开披露关键性之前发布安全补丁，以便让客户有时间先行修复，防止攻击者获取该信息。

6月11日，Lexfor Security的研究员CharlesFol在一条中确认了该漏洞，表示Fortinet已针对发布了补丁。Fol指出，这是一个能够在每个Fortinet SSL-
VPN设备上预认证时被利用的RCE漏洞，并建议尽快进行修补。

Fortinet近期响应了多项，迈克·帕金（Mike Parkin），VulcanCyber的高级技术工程师表示，这次漏洞事件又是一个显著的例子。帕金补充，虽然提前发布修补程序并不罕见，但我们尚不清楚此漏洞是否被广泛利用，或是否已经被其他人知晓。他表示，虽然研究人员能够创建漏洞概念证明（PoC），但这并不总能转化为武器化攻击。

在谈到PoC的问题时，帕金表示：“一旦PoC公开，威胁行为者肯定会尝试创造自己的攻击方式以利用该漏洞，这意味着Fortinet的用户需要尽快修补系统。”他预计，一旦CVE过了预留阶段，他们将发布更多细节，“不过，这是否足以复制研究者的工作并生成另一个PoC还有待观察。CVE本身经常信息不足，因此我更想看到研究在CVE正式发布后是否能被公开。”

Netenrich的首席威胁猎人约翰·班贝克（JohnBambenek）指出，管理员通常不愿意快速修补网络设备，尤其是像这样的设备。他强调：“提前发布补丁可以减缓一些延迟，以便在更广泛的威胁行为者了解漏洞并开始利用其之前保护到位。”

Horizon3.ai的首席攻击工程师扎克·汉利（ZachHanley）表示，尽管他的团队尚未深入研究此漏洞的根本原因，但他们了解到这是一个基于堆栈的漏洞。这意味着，攻击者需要根据被漏洞影响的每个Fortinet设备版本调整攻击手法，因此大规模利用将更加困难。他指出：“我并不认为这个漏洞会导致大规模利用，而是我们将看到针对高价值组织的精准攻击。倾向支付赎金的组织或保有大量知识产权的企业将是主要目标。”

Fortinet在6月12日发布的PSIRT公告中详细说明了针对CVE-2023-27997的后续建议步骤（）。声明中提到：“Fortinet将继续关注这一