Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023)

[English]Hersteller Fortinet hat gerade ein Update der Firmware für seine Fortigate SSL-VPNs veröffentlicht. Dabei wurde wohl nicht erwähnt, dass dieses Firmware-Update dringend installiert werden sollte, da es eine kritische RCE-Schwachstelle in den Fortigate SSL-VPNs schließt. Das Thema ist mir sowohl auf Twitter untergekommen als auch von Blog-Lesern berichtet worden. Ergänzung: Es gibt nun eine Sicherheitswarnung und eine CVE-Nummer sowie den Hinweis, dass die Schwachstelle vermutlich ausgenutzt wurde.

Blog-Leser Martin H. hatte mich heute per persönlicher Nachricht auf Facebook kontaktiert und lieferte einen Hinweis auf Firmware-Updates bei Fortinet:

Haben Sie wahrscheinlich schon gesehen, aber Fortinet treibt einen echt in den Wahnsinn. Es ist ja auch zu viel verlangt ne simple Nachricht an seine Partner zu schicken mit dem Text "Dringend Patchen! Warum erklären wir später". Wieso muss man das erst bei Ihnen oder einer anderen Seite lesen. Kann's ja echt nicht sein.

Ich hatte das Thema auf Twitter gesehen, weil einige Sicherheitsexperten diesbezüglich gerade "ein Rad schlagen", weil Fortinet da keine Warnung oder Hinweis veröffentlicht hat. Vorigen Freitag wurden Sicherheitsupdates für die FortiOS-Firmware-Versionen 6.0.17, 6.2.15, 6.4.13, 7.0.12 und 7.2.5 veröffentlicht. Will Dormann greift es in folgendem Tweet auf:

Ihm ist zu Ohren gekommen, dass die FortiOS-Versionen 7.2.5, 7.0.12, 6.4.13, 6.2.15, 6.0.17 die kritische Remote Code Execution-Schwachstelle CVE-2023-27997 beheben. Der Tweet deutet an, dass es keine PSIRT-Veröffentlichungen von Fortinet gibt (der Screenshot zeigt, dass die letzte Sicherheitswarnung von Mai 2023 datiert).

Die Sicherheitsspezialisten von OLYMPE weisen hier auf die Updates hin, die die kritische Schwachstelle schließen. Die Sicherheitslücke ermöglicht es einem Angreifer, sich über das VPN einzuschleusen, selbst wenn MFA aktiviert ist. In einem weiteren Tweet kritisiert Will Dormann die Praxis von Fortinet, dass diese die Updates ohne weitere Erklärungen veröffentlichen (im Grunde hätten die Updates am Freitag dringend eingespielt werden müssen).

Die Kollegen von Bleeping Computer haben den Sachverhalt in diesem Artikel aufgegriffen, nachdem sie von einem Sicherheitsforscher Charles Fol kontaktiert wurden, der auf die Schwachstelle hinwies. Mir ist dann nach nachfolgender Tweet untergekommen, der den Sachverhalt aufgreift und mal kurz auf Shodan verlinkt.

Weltweit sind 635.500 IP-Adressen entsprechender Geräte aufgelistet. In den USA sind 199,500 Einheiten aufgelistet und bei diversen Abrufen sind mir einige Instanzen in Deutschland aufgefallen. Auf die Berichte von Bleeping Computer und The Hacker News hat Fortinet folgendes geantwortet:

Timely and ongoing communications with our customers is a key component in our efforts to best protect and secure their organization. There are instances where confidential advance customer communications can include early warning on Advisories to enable customers to further strengthen their security posture, prior to the Advisory being publicly released to a broader audience. This process follows best practices for responsible disclosure to ensure our customers have the timely information they need to help them make informed risk-based decisions. For more on Fortinet's responsible disclosure process, visit the Fortinet Product Security Incident Response Team (PSIRT) page.

Ergänzung: Es gibt nun eine Sicherheitswarnung FG-IR-23-097 des Herstellers und eine CVE-Nummer CVE-2023-27997 mit weiteren Details. Die Schwachstelle wurde als kritisch eingestuft. Laut Bleeping Computer gibt es den Hinweis, dass die Schwachstelle vermutlich ausgenutzt wurde.