023年6月12日発表されたフォーティゲート（FortiGate）のファイアウォールのリモートコード実行（RCE）脆弱性である CVE-2023-27997 のパッチ遅延が深刻な状態です。CVE-2023-27997はヒップ基盤のバッファオーバーフローの脆弱性でSSL-VPNが活性化されたデバイスに影響を与えます。これはウェブに漏洩されたSSL-VPN のインターフェースを通じてリモートでコードを実行できるリモートコード実行（RCE）脆弱性であり、CVEスコアは10点満点に9.8点で深刻度がかなり高いです。サイバーセキュリティメディアのBleepingComputerの記事によると、7月3日パッチが適用されないまま脆弱性に漏洩されたフォーティネットのファイアウォールが30万以上発見されたそうです。脆弱性が公開されたと同時にセキュリティパッチが更新されたにもかかわらずユーザーのパッチが遅れていることを意味します。すると、１ヶ月が経った今はどうでしょう。今回の投稿では、パッチの発表からほぼ2ヶ月になっている今はどれだけ多くのフォーティネットのファイアウォールが脆弱な状態で脅威にさらされているかを調べたいと思います。 インターネットに漏洩されたフォーティゲートSSL VPNのインターフェースを見つける 既に記事を通じて知られている「 CVE-2023-27997 に脆弱なデバイスを見つける方法」を参考にし、Criminal IPのIT資産検索に次のようなクエリを検索してみました。次のクエリはインターネットに漏洩されている脆弱なフォーティゲートSSL VPNのインターフェースを見つけるCriminal IPのクエリです。 https://www.criminalip.io/ja/asset/search?query=%22xxxxxxxx-xxxxx%22+%22top.location%3D%2Fremote%2Flogin%22 検索クエリ："xxxxxxxx-xxxxx" "top.location=/remote/login" *当クエリに使われた "" 演算子は検索したクエリがバナースクリプトに正確に一致するサーバーを見つけるようにする演算子です。 Criminal IPのIT資産検索に「"xxxxxxxx-xxxxx"