CVE-2023-33308 – FortiOS/FortiProxy 高危远程代码执行漏洞
作者:Kudelski 安全威胁检测与研究团队的 Eric Dodge 和 Harish Segar
发布日期:2023年7月13日
摘要
Fortinet 近期披露了一个影响多个 FortiOS 和 FortiProxy 版本的高危缓冲区溢出漏洞,攻击者可利用此漏洞在受影响设备上执行任意远程代码(RCE)。该漏洞被追踪为 CVE-2023-33308,严重程度评分为 9.8。建议尽快对受影响系统进行补丁修复,或在适用情况下通过禁用 HTTP/2 支持来实施临时解决方案。
威胁行为者热衷于利用影响 Fortinet 产品的远程代码执行漏洞,尤其是那些无需身份验证即可利用的漏洞,因为它们为攻击者提供了轻松进入大量企业环境的初始访问途径。
受影响的应用
根据 Fortinet 的公告,以下为受影响的 FortiOS 和 FortiProxy 版本及相应的修复版本:
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| FortiOS | 7.2.0 至 7.2.3 | 7.2.4 或更高,7.4.0 或更高 |
| FortiOS | 7.0.0 至 7.0.10 | 7.0.11 或更高 |
| FortiProxy | 7.2.0 至 7.2.2 | 7.2.3 或更高 |
| FortiProxy | 7.0.0 至 7.0.9 | 7.0.10 或更高 |
技术细节
此漏洞在成功利用时,允许远程攻击者执行任意代码和命令。攻击通过向设置了代理模式及 SSL 深度包检测的代理和/或防火墙策略发送特制数据包实现。该漏洞利用了缓冲区下溢(buffer underwrite 或 buffer underflow),即数据被写入引用缓冲区起始位置之前的内存位置的索引或指针。这可通过指针算术运算导致位置位于有效内存区域之前,或通过使用负索引实现。
解决方案
Kudelski 安全建议尽快识别、验证并对任何受影响系统实施安全更新。管理员应迅速行动,尽快实施补丁。如果设备管理界面中未提供更新,重启设备可能会使其可用。否则,建议手动下载并安装。
Fortigate 用户可以通过在 CLI 中运行以下命令,并与上述版本表对比,检查其设备是否易受攻击:
|
|
用户还可以使用外部工具(如 Nmap 或 Shodan)扫描设备上与 SSL VPN 相关的开放端口(如 443 或 10443),并检查横幅信息中的 FortiOS 版本号。
对于使用 Nessus/Tenable 的客户,可以使用插件 ID 178148 来识别系统是否已针对 CVE-2023-33308 打补丁。此外,插件 ID 73522 可用于识别网络中的 Fortinet 设备。
临时解决方法和缓解措施
在等待全面补丁期间,可以实施一个临时解决方案。该解决方案涉及在使用代理模式且启用 SSL 检测的代理或防火墙策略中,禁用 HTTP/2 支持。请参阅以下链接获取 Fortinet 的更多信息。
网络融合中心(CFC)的行动
CFC 将持续关注此漏洞的最新动态,并在有新信息时提供进一步更新。CFC 还与漏洞扫描合作伙伴协调,部署能够识别未打补丁系统及易受 CVE-2023-33308 攻击资产的插件。一旦可用,使用 CFC 漏洞扫描服务的组织将能够通过扫描结果验证其暴露情况。
来源
- http://www.fortiguard.com/psirt/FG-IR-23-183
- https://www.cisa.gov/news-events/alerts/2023/07/11/fortinet-releases-security-update-fortios-and-fortiproxy
- https://docs.fortinet.com/document/fortigate/7.0.0/new-features/710924/http-2-support-in-proxy-mode-ssl-inspection
- https://www.tenable.com/plugins/nessus/178148
- https://www.tenable.com/plugins/nessus/73522