Centenas de milhares de gateways de rede FortiGate mantiveram uma vulnerabilidade crítica porque ninguém os corrigiu

A fabricante de soluções de segurança Bishop Fox LLC emitiu um aviso na sexta-feira de que centenas de milhares de empresas da Fortinet Inc. permanecem vulneráveis ​​a ataques porque não receberam patches após a divulgação de uma vulnerabilidade crítica em junho.

A vulnerabilidade CVE-2023-27997 refere-se ao tipo de bug associado a estouros de buffer (estouro de buffer baseado em heap). Foi encontrado no sistema operacional FortiOS. A vulnerabilidade é classificada como crítica – 9,8 pontos em 10 possíveis na escala CVSS. Graças a ele, um invasor pode realizar a execução remota de código em um dispositivo vulnerável com uma interface SSL VPN acessível na Web.

A Fortinet lançou atualizações para FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 e 7.2.5 onde a vulnerabilidade foi corrigida. No entanto, como descobriu Bishop Fox, os administradores ignoraram as chamadas para instalar patches, portanto, mais de 300.000 firewalls FortiGate (69% dos 490.000 encontrados na Web) ainda estão vulneráveis ​​a possíveis exploits.

Imagem: Bispo Fox

Para demonstrar o risco associado à vulnerabilidade, a equipe do Bishop Fox desenvolveu uma exploração que aciona a execução remota de código que compromete o sistema de destino, permitindo que ele se reconecte a um servidor controlado pelo invasor. A exploração fornece um shell interativo no dispositivo de destino.

Os pesquisadores da Bishop Fox recomendam fortemente que todos os proprietários do Fortinet FortiGate instalem o patch o mais rápido possível para evitar o perigo de uma violação do sistema. Eles são repetidos por especialistas de outras empresas envolvidas em segurança da informação.

avalanche

Postagens recentes

A Netflix Coreia vazou a data de lançamento de Cyberpunk: Edgerunners 2.

Assim que a gigante do streaming Netflix confirmou a data de lançamento da série de…

6 horas atrás

Contrariando a tendência: a Amazon aumentou em um terço a capacidade de RAM do seu tablet Fire HD 10.

O Fire HD 8, lançado em 2024, é a mais recente adição à linha de…

7 horas atrás

A Valve publicou instruções para criar um painel com tela E Ink para a Steam Machine.

A Valve liberou os arquivos do projeto Inkterface — um painel frontal faça-você-mesmo com tela…

7 horas atrás

Os desenvolvedores de Ghostrunner adorariam trabalhar em Ghostrunner 3, mas há um porém.

Em vez de um possível Ghostrunner 3, os desenvolvedores do estúdio polonês One More Level…

8 horas atrás

A Anthropic quer se tornar uma empresa farmacêutica – os medicamentos serão desenvolvidos por IA.

No evento "The Briefing: AI for Science", a Anthropic anunciou o Claude Science, um novo…

9 horas atrás