Centenas de milhares de gateways de rede FortiGate mantiveram uma vulnerabilidade crítica porque ninguém os corrigiu

A fabricante de soluções de segurança Bishop Fox LLC emitiu um aviso na sexta-feira de que centenas de milhares de empresas da Fortinet Inc. permanecem vulneráveis ​​a ataques porque não receberam patches após a divulgação de uma vulnerabilidade crítica em junho.

A vulnerabilidade CVE-2023-27997 refere-se ao tipo de bug associado a estouros de buffer (estouro de buffer baseado em heap). Foi encontrado no sistema operacional FortiOS. A vulnerabilidade é classificada como crítica – 9,8 pontos em 10 possíveis na escala CVSS. Graças a ele, um invasor pode realizar a execução remota de código em um dispositivo vulnerável com uma interface SSL VPN acessível na Web.

A Fortinet lançou atualizações para FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 e 7.2.5 onde a vulnerabilidade foi corrigida. No entanto, como descobriu Bishop Fox, os administradores ignoraram as chamadas para instalar patches, portanto, mais de 300.000 firewalls FortiGate (69% dos 490.000 encontrados na Web) ainda estão vulneráveis ​​a possíveis exploits.

Imagem: Bispo Fox

Para demonstrar o risco associado à vulnerabilidade, a equipe do Bishop Fox desenvolveu uma exploração que aciona a execução remota de código que compromete o sistema de destino, permitindo que ele se reconecte a um servidor controlado pelo invasor. A exploração fornece um shell interativo no dispositivo de destino.

Os pesquisadores da Bishop Fox recomendam fortemente que todos os proprietários do Fortinet FortiGate instalem o patch o mais rápido possível para evitar o perigo de uma violação do sistema. Eles são repetidos por especialistas de outras empresas envolvidas em segurança da informação.

avalanche

Postagens recentes

A Meta utiliza DDR4 em sistemas de servidor que não a suportam nativamente.

O boom da IA ​​previsivelmente direcionou a demanda para a memória DDR5, mais cara e…

53 minutos atrás

A Netflix Coreia vazou a data de lançamento de Cyberpunk: Edgerunners 2.

Assim que a gigante do streaming Netflix confirmou a data de lançamento da série de…

8 horas atrás

Contrariando a tendência: a Amazon aumentou em um terço a capacidade de RAM do seu tablet Fire HD 10.

O Fire HD 8, lançado em 2024, é a mais recente adição à linha de…

9 horas atrás

A Valve publicou instruções para criar um painel com tela E Ink para a Steam Machine.

A Valve liberou os arquivos do projeto Inkterface — um painel frontal faça-você-mesmo com tela…

9 horas atrás

Os desenvolvedores de Ghostrunner adorariam trabalhar em Ghostrunner 3, mas há um porém.

Em vez de um possível Ghostrunner 3, os desenvolvedores do estúdio polonês One More Level…

10 horas atrás