# CVE-2023-27997 ## Resumo CVE-2023-27997, também conhecida como **XORtigate**, é uma vulnerabilidade crítica de estouro de buffer baseado em heap (*heap-based buffer overflow*) presente no portal SSL-VPN do [[vendors/fortinet/fortios|FortiOS]] e do FortiProxy da [[vendors/fortinet/_fortinet|Fortinet]]. Um atacante remoto não autenticado pode explorar a falha enviando requisições HTTP especialmente construídas para executar código arbitrário no dispositivo comprometido. A vulnerabilidade foi descoberta pelos pesquisadores Charles Fol e Dany Bach da Lexfo Security e é considerada uma das falhas mais críticas já encontradas em appliances de borda da Fortinet, afetando aproximadamente 69% dos firewalls FortiGate expostos na internet no momento da divulgação. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por portais SSL-VPN<br/>FortiOS expostos na internet"] --> B["💥 Heap Overflow XORtigate<br/>Payload HTTP malicioso em<br/>/remote/hostcheck_validate"] B --> C["🔑 Execução Remota de Código<br/>Controle do fluxo via heap<br/>smashing sem autenticação"] C --> D["🛡️ Persistência<br/>Download de BusyBox e<br/>abertura de shell interativo"] D --> E["🔑 Criação de Backdoor<br/>Conta super_admin maliciosa<br/>fortigate-tech-support"] E --> F["📤 Exfiltração<br/>Roubo de configuração,<br/>certificados e credenciais"] ``` ## Detalhes Técnicos - **Tipo:** RCE (Remote Code Execution) - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim - **Versões afetadas:** FortiOS 6.0.x até 7.2.4; FortiProxy 1.1.x até 7.2.3 - **Versão corrigida:** FortiOS 7.2.5, 7.0.12, 6.4.13, 6.2.15, 6.0.17; FortiProxy 7.2.4, 7.0.10, 2.0.13 - **CWE:** CWE-122 (Heap-based Buffer Overflow), CWE-787 (Out-of-bounds Write) ### Funcionamento Técnico A vulnerabilidade reside na forma como o portal SSL-VPN processa parâmetros HTTP específicos nos endpoints `/remote/hostcheck_validate` e `/remote/logincheck`. O parâmetro `enc` sofre uma verificação de tamanho incorreta devido a um erro de truncamento - o comprimento é armazenado em uma variável de 8 bits em vez de um tipo maior. Um atacante pode enviar um payload com comprimento que parece válido para a verificação truncada, mas excede o tamanho do buffer alocado, permitindo escrita fora dos limites no heap. Manipulando o layout do heap (*heap smashing*), o atacante sobrescreve estruturas de memória críticas para sequestrar o fluxo de execução. ## Exploração A vulnerabilidade foi explorada como zero-day antes da divulgação pública em junho de 2023. A [[g1017-volt-typhoon|Volt Typhoon]], um grupo APT chinês, foi associada à exploração de dispositivos Fortinet para acesso inicial a infraestruturas críticas. A Fortinet confirmou que a vulnerabilidade "pode ter sido explorada em um número limitado de casos" antes do patch. Após a exploração bem-sucedida, os atacantes foram observados baixando binários leves (como BusyBox) para abrir shells interativas, instalando webshells, roubando arquivos de configuração e criando contas `super_admin` maliciosas com o nome `fortigate-tech-support`. Múltiplos PoCs públicos estão disponíveis no GitHub desde pouco após a divulgação. O grupo [[cl0p|Cl0P]] e operadores de ransomware também foram reportados explorando a falha. O EPSS score de ~90% indica probabilidade muito alta de exploração ativa. ## Mitigação 1. Atualizar imediatamente o firmware do FortiOS para versão 7.2.5, 7.0.12, 6.4.13, 6.2.15 ou 6.0.17 (ou superior) 2. Se o patch imediato não for possível, **desabilitar completamente a funcionalidade SSL-VPN** - regras de firewall restringindo acesso à porta VPN não corrigem a vulnerabilidade subjacente 3. Monitorar logs em busca de criação de contas `super_admin` não autorizadas e acessos ao endpoint `/bin/sslvpnd` 4. Verificar indicadores de comprometimento: conta `fortigate-tech-support` com perfil `super_admin` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > A Fortinet detém uma das maiores participações de mercado de firewalls na América Latina, com o FortiGate sendo o appliance de segurança mais implantado em empresas brasileiras de médio e grande porte. Segundo dados da IDC, a Fortinet lidera o mercado de UTM/firewall no Brasil, o que torna esta CVE de impacto desproporcional na região. > > No momento da divulgação, aproximadamente 69% dos FortiGate expostos na internet estavam vulneráveis. No Brasil, setores como **financeiro**, **governo**, **telecomúnicações** e **varejo** utilizam FortiOS como gateway VPN principal para acesso remoto de funcionários. A exploração pela **Volt Typhoon** - focada em infraestrutura crítica - adiciona uma camada de risco para organizações brasileiras de **energia** e **telecomúnicações** que são alvos estratégicos. > > O CERT.br e a ANPD devem considerar que a exfiltração de configurações FortiOS expõe não apenas credenciais VPN, mas também políticas de firewall completas, mapeando toda a postura de segurança da organização comprometida. Empresas brasileiras com FortiOS em versões anteriores a 7.2.5 devem tratar esta remediação como prioridade absoluta. ## Referências - [NVD - CVE-2023-27997](https://nvd.nist.gov/vuln/detail/CVE-2023-27997) - [Fortinet PSIRT Advisory FG-IR-23-097](https://www.fortiguard.com/psirt/FG-IR-23-097) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Tenable - Análise CVE-2023-27997](https://www.tenable.com/blog/CVE-2023-27997-heap-based-buffer-overflow-in-fortinet-fortios-and-fortiproxy-ssl-vpn-xortigate) - [Rapid7 - ETR CVE-2023-27997](https://www.rapid7.com/blog/post/2023/06/12/etr-CVE-2023-27997-critical-fortinet-fortigate-remote-code-execution-vulnerability/) ## Notas Relacionadas **CVEs relacionados:** [[cve-2024-47575|CVE-2024-47575]] · [[cve-2024-21762|CVE-2024-21762]] · [[cve-2023-46805|CVE-2023-46805]] · [[cve-2022-40684|CVE-2022-40684]] **Atores explorando:** [[g1017-volt-typhoon|Volt Typhoon]] · [[cl0p|Cl0p]] · [[unc5820|UNC5820]] **Campanha:** [[volt-typhoon-infrastructure-campaign|Volt Typhoon Infrastructure Campaign]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1078-valid-accounts|T1078]] · [[t1005-data-from-local-system|T1005]] **Setores em risco:** [[financial|financeiro]] · [[government|governo]] · [[telecommunications|telecomúnicações]] · [[energy|energia]] · [[critical-infrastructure|infraestrutura crítica]]