Varnostna obvestila / 14. 12. 2022

SI-CERT 2022-06 / Ranljivost FortiOS SSL-VPN

Objavljeno: 14.12.2022

Povzetek

Fortinet je 12.12.2022 izdal obvestilo o ranljivosti CVE-2022-42475 FortiOS SSL-VPN, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Popravki za ranljivost so bili izdani že v novembru 2022. Ranljivost se je že izrabljala v napadih.

Ranljivi sistemi

FortiOS verzije 7.2.0 do 7.2.2
FortiOS verzije 7.0.0 do 7.0.8
FortiOS verzije 6.4.0 do 6.4.10
FortiOS verzije 6.2.0 do 6.2.11
FortiOS verzije 6.0.0 do 6.0.15
FortiOS verzije 5.6.0 do 5.6.14
FortiOS verzije 5.4.0 do 5.4.13
FortiOS verzije 5.2.0 do 5.2.15
FortiOS verzije 5.0.0 do 5.0.14
FortiOS-6K7K verzije 7.0.0 do 7.0.7
FortiOS-6K7K verzije 6.4.0 do 6.4.9
FortiOS-6K7K verzije 6.2.0 do 6.2.11
FortiOS-6K7K verzije 6.0.0 do 6.0.14

Ukrepi

Proizvajalec je popravke za ranljivost izdal že novembra:

https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/7.0.9/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.4.11/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.2.12/fortios-release-notes/553516/change-log

Zadnje verzije programske opreme so na voljo na spletni strani proizvajalca.

Če popravkov ni možno namestiti, svetujemo, da se SSL-VPN onemogoči.

Možnost zlorabe SSL-VPN se lahko omeji z dodatnimi ukrepi, npr. geoblokado. Če se SSL-VPN ne uporablja, naj se ga onemogoči.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, tudi če je na sistemu omogočeno samodejno posodabljanje.

Proizvajalec svetuje pregled sledečih indikatorjev zlorabe:

Večkratni dnevniški vnosi, ki vsebujejo:

Logdesc="Application crashed", msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"

Prisotnost spodnjih datotek na sistemu:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Omrežne povezave na sledeče sisteme:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na Fortinet podporo.

Zunanje povezave

https://www.fortiguard.com/psirt/FG-IR-22-398

Preberite tudi

Varnostna obvestila / 17. 10. 2025

SI-CERT 2025-08 / F5 izpostavljenost izvorne kode

Napadalci so avgusta 2025 pridobili dolgotrajen nepooblaščen dostop do nekaterih notranjih sistemov F5, vključno z razvojnim okoljem za BIG‑IP in platformami za upravljanje inženirskega znanja. Ukradli so občutljive podatke, med njimi del izvorne kode BIG‑IP, in informacije o nerazkritih ranljivostih. Podajamo nasvete za skrbnike F5 sistemov.

Več

Varnostna obvestila / 7. 10. 2025

SI-CERT 2025-07 / Ranljivosti Cisco ASA naprav

Cisco ASA naprave (Adaptive Security Appliances), vsebujejo ranljivossti, ki se že aktivno izkoriščajo za nepooblaščen dostop do naprav in trajno prisotnost (angl. persistence) storilcev na napravah.

Več

Varnostna obvestila / 21. 7. 2025

SI-CERT 2025-06 / Kritična ranljivost Microsoft SharePoint

Microsoft je izdal navodila za ukrepanje zaradi SharePoint ranljivosti CVE-2025-53770. Gre za kritično ranljivost, ki omogoča izvedbo poljubne programske kode na daljavo (RCE, Remote Code Execution). Ranljive so samostojne (on-prem) namestitve, ranljivost pa se že izkorišča na omrežju.

Več