Реагування на критичні вразливості у FortiOS SSL VPN (CVE-2023-27997)
Серйозна вразливість, нещодавно розкрита в продукті FortiOS SSL VPN від Fortinet, уможливлює віддалене виконання коду без автентифікації, дозволяючи зловмисникам обійти автентифікацію та отримати повний контроль над системою. З критичною оцінкою CVSS 9.8 усім організаціям, які використовують вражені версії FortiOS SSL VPN, слід невідкладно вжити заходів, щоб виявити вразливі системи та зменшити ризики. Ця стаття містить докладний аналіз вразливості, способи виявлення вражених систем і найкращі практики пом’якшення та усунення вразливостей.
Розуміння наслідків CVE-2023-27997
Вразливість, що відстежується як CVE-2023-27997, існує в модулі попередньої автентифікації SSL VPN у FortiOS. Вона спричиняє переповнення купи — різновид переповнення буфера, коли надлишкові дані виходять за межі виділеної області пам’яті в сусідні області в зоні динамічної пам’яті (купи). Переповнюючи буфер пам’яті, зловмисники можуть перезаписати сусідні комірки пам’яті, щоб вставити шкідливий код і змінити хід виконання програми.
Успішна експлуатація цієї вразливості фактично усуває бар’єр автентифікації, дозволяючи віддаленим зловмисникам без автентифікації виконувати довільний код у цільовій системі. Будь-які мережі чи ресурси, захищені скомпрометованим SSL VPN, стають доступними для зловмисників, що уможливлює серйозні витоки даних, атаки з використанням програм-вимагачів, пошкодження систем та іншу шкідливу діяльність.
Легкість, з якою цю вразливість можна експлуатувати, і серйозні потенційні наслідки — саме тому вона отримала оцінку CVSS 9.8. Вразливість такого рівня критичності надзвичайно небезпечна, від неї важко захиститися, і її слід негайно усунути.
Хоча SSL VPN покликані забезпечувати організаціям безпечний віддалений доступ, вразливість на етапі до автентифікації повністю руйнує цей захист. Вона дозволяє будь-якому зловмиснику в інтернеті отримати доступ без облікових даних, оскільки рівень автентифікації обходиться. Через це такі атаки набагато важче виявити за аномальними входами чи зловживанням обліковими даними.
Розкриття вразливості вказує, що ваду можна експлуатувати віддалено без участі користувача, що розширює можливості для атаки. Зловмисникам достатньо мати мережевий доступ і здатність надсилати спеціально сформовані пакети до вразливого інтерфейсу SSL VPN, щоб спричинити переповнення купи та досягти віддаленого виконання коду.
Коли бар’єр автентифікації усунено, атаки можуть швидко й непомітно переходити безпосередньо до викрадання даних, шифрування з метою викупу, знищення систем або горизонтального переміщення далі в мережу. Організаціям, які покладаються на ці SSL VPN для безпечного віддаленого доступу, необхідно негайно усунути цю вразливість, щоб уникнути потенційної катастрофи.
Визначення вражених версій FortiOS
Згідно з деталями вразливості, оприлюдненими Fortinet, наведені нижче версії FortiOS і FortiProxy вражені CVE-2023-27997:
- FortiOS 6.0.x — 6.0.17 і нижчі версії вразливі
- FortiOS 6.2.x — 6.2.14 і нижчі версії вразливі
- FortiOS 6.4.x — 6.4.13 і нижчі версії вразливі
- FortiOS 7.0.x — 7.0.12 і нижчі версії вразливі
- FortiOS 7.2.x — 7.2.5 і нижчі версії вразливі
- FortiOS 7.4.x — 7.4.0 і нижчі версії вразливі
- FortiProxy 2.0.x — 2.0.13 і нижчі версії вразливі
- FortiProxy 7.0.x — 7.0.10 і нижчі версії вразливі
- FortiProxy 7.2.x — 7.2.4 і нижчі версії вразливі
Будь-яка організація, що використовує ці випуски FortiOS або FortiProxy у своєму середовищі, може мати вразливі системи, придатні для експлуатації, які потребують уваги. Перший крок — підтвердити, які версії активно використовуються в усій інфраструктурі.
Виявлення вразливих систем FortiOS
Щоб виявити потенційно вражені системи, можна застосувати кілька підходів:
- Перевірте версію прошивки, яку повідомляє CLI FortiOS, за допомогою команди:
diagnose sys fortiguard-service status
- Перегляньте будь-які доступні примітки до випусків FortiOS або записи про оновлення, щоб визначити попередні версії
- Проскануйте інвентарні переліки пристроїв і бази даних управління конфігураціями, щоб виявити продукти SSL VPN і версії прошивок, де вони доступні
- Виконайте неінтрузивне сканування зовнішньої поверхні атаки, щоб виявити інтерфейси SSL VPN, які можуть бути вражені
- Опитайте адміністраторів FortiOS, щоб підтвердити версії, які використовуються в усьому середовищі
Щойно вразливі версії виявлено, необхідно вжити заходів, щоб усунути експозицію. Будь-які системи, що досі працюють на одній із перелічених вражених версій, слід вважати такими, що перебувають під безпосереднім ризиком, доки їх не оновлено чи не пом’якшено.
Пом’якшення ризиків CVE-2023-27997
Для будь-яких виявлених вразливих пристроїв і систем SSL VPN організаціям слід вжити таких заходів, щоб зменшити ризики:
Оновіть до виправленої версії прошивки FortiOS
Найефективніший спосіб пом’якшення — оновити вразливі пристрої до виправленої версії прошивки, яка усуває CVE-2023-27997. Згідно з Fortinet, було виправлено такі версії FortiOS:
- FortiOS 6.0.x — оновіть до 6.0.17 або новішої
- FortiOS 6.2.x — оновіть до 6.2.15 або новішої
- FortiOS 6.4.x — оновіть до 6.4.13 або новішої
- FortiOS 7.0.x — оновіть до 7.0.12 або новішої
- FortiOS 7.2.x — оновіть до 7.2.5 або новішої
- FortiOS 7.4.x — оновіть до 7.4.0 або новішої
А також доступні такі виправлені версії FortiProxy:
- FortiProxy 2.0.x — оновіть до 2.0.13 або новішої
- FortiProxy 7.0.x — оновіть до 7.0.10 або новішої
- FortiProxy 7.2.x — оновіть до 7.2.4 або новішої
Оновлення до цих найновіших виправлених версій прошивки повністю усуне вразливість і захистить будь-які вражені пристрої. Організаціям слід дотримуватися своїх процесів управління змінами, щоб оновлювати пристрої, перевіряти функціональність і планувати вікна обслуговування з мінімальними перебоями.
Вимкніть служби SSL VPN
Якщо негайно оновити вразливий пристрій FortiOS неможливо, організаціям слід вимкнути служби SSL VPN на пристрої, щоб зменшити поверхню атаки.
Зверніться до бази знань Fortinet по інструкції з повного вимкнення з’єднань SSL VPN для вашої версії прошивки. Зазвичай це передбачає видалення Remote Access VPN > SSL-VPN Web Portal з GUI або встановлення значення "vpn certificate setting" чи "sslvpn service" на "disable" за допомогою команд CLI.
Успішне вимкнення можна підтвердити, коли віддалені користувачі більше не можуть отримати доступ до сторінки входу SSL VPN пристрою. Це усуває вектор атаки, доки не буде виконано оновлення прошивки. Однак зауважте, що інші вразливості все ще можуть існувати, тож оновлення залишається найкращим захистом.
Посильте конфігурації пристроїв
Після оновлення вразливих пристроїв організаціям слід посилити конфігурації FortiOS, дотримуючись рекомендованих Fortinet найкращих практик кібергігієни. Вони охоплюють такі кроки, як:
- Фізична безпека пристроїв
- Увімкнення моніторингу вразливостей через PSIRT
- Політики оновлення прошивки
- Використання шифрованих протоколів
- Оновлені служби бази даних FortiGuard
- Регулярне тестування на проникнення
- Запобігання DDoS
- Політики паролів і їх зберігання
Проактивне застосування цих заходів посилення безпеки зменшує загальну поверхню атаки та ризик експлойтів. Fortinet надає докладні інструкції до кожної рекомендації, на які організації можуть спиратися та які можуть впроваджувати.
Відстежуйте трафік VPN
Доки заходи пом’якшення не буде повністю впроваджено, командам ІТ-безпеки слід уважно відстежувати застосунки SSL VPN, мережевий трафік і системні логи на предмет будь-яких ознак спроб експлуатації чи іншої підозрілої активності.
Раптові сплески трафіку, аномальні патерни з’єднань, невідомі user-agent або незнайомі IP-адреси, що взаємодіють із SSL VPN, можуть свідчити про спробу експлуатації або про те, що вона вже триває. Збір таких криміналістичних доказів допомагає з’ясувати, чи вже стався успішний злам.
Додайте компенсаційні заходи контролю
Хоча оновлення пристроїв і служб є основним способом усунення вразливостей, можна також розглянути додаткові компенсаційні заходи контролю. Наприклад, впровадження багатофакторної автентифікації (MFA) для з’єднань VPN усе одно вимагатиме від зловмисників додаткового фактора, окрім самої лише експлуатації вразливості.
MFA не виправить вразливість, але може запобігти деяким компрометаціям. Інші заходи контролю, як-от розширене журналювання, сповіщення, мікросегментація для обмеження горизонтального переміщення та дозвіл на трафік VPN лише з керованих кінцевих точок, також можуть допомогти обмежити збитки, доки системи не буде повністю оновлено.
Безперервний моніторинг вразливих активів
Щоб уникнути сліпих зон навколо нових вразливостей, як-от CVE-2023-27997, організаціям слід впровадити безперервний моніторинг і неінтрузивне сканування своєї зовнішньої поверхні атаки та невідомих відкритих активів.
Хмарні платформи управління поверхнею атаки можуть автоматично виявляти системи, доступні з інтернету, і зіставляти їх із відомим вразливим програмним забезпеченням. Це дає командам безпеки змогу швидше виявляти й усувати ризики для активів, що перебувають під загрозою.
Підтримуючи видимість відкритих систем і версій використовуваного програмного забезпечення в реальному часі, організації можуть значно скоротити час реагування, коли розкриваються нові загрози. Вони можуть миттєво перевірити наявність будь-якого впливу та вжити відповідних заходів пом’якшення до того, як стануться інциденти.
Проактивне формування такого рівня ситуаційної обізнаності щодо вразливостей у середовищі здатне значно зміцнити стан управління ризиками та стійкість організації. Покладання на періодичне сканування чи ручний перегляд конфігурацій не забезпечить такої ж швидкості виявлення й реагування.
Інтеграція видимості та моніторингу поверхні атаки в наявні робочі процеси й інструменти, як-от заявки на обслуговування, канали Slack, платформи SIEM тощо, також гарантує, що вразливі системи не залишаться поза увагою. Автоматизовані сповіщення можна спрямувати через відповідні процеси, щоб пришвидшити усунення вразливостей.
Висновок
Критичний рівень небезпеки та легкість експлуатації вразливості CVE-2023-27997 у FortiOS SSL VPN означають, що вона становить серйозний ризик для будь-якої організації з вразливим розгортанням. Усі вражені системи можуть стати відчиненими дверима, через які зловмисники проникають у мережі та завдають шкоди.
Розуміючи, як ця вразливість обходить автентифікацію, визначаючи вражені версії та застосовуючи заходи пом’якшення, як-от оновлення, вимкнення служб і посилення конфігурацій, компанії можуть усунути експозицію, створену цією вадою.
Безперервний проактивний моніторинг таких типів ризиків також критично важливий для швидкого реагування. Зі зростанням кількості гібридних середовищ і посиленням залежності від пристроїв на кшталт SSL VPN для віддаленого доступу вразливості й надалі виникатимуть. Розробка потужних програм для управління вразливостями, видимості поверхні атаки, аналізу логів і встановлення оновлень допоможе зменшити бізнес-ризики.
