Skoči na vsebino
Varnostna obvestila /

SI-CERT 2022-06 / Ranljivost FortiOS SSL-VPN

Objavljeno: 14.12.2022

Povzetek

Fortinet je 12.12.2022 izdal obvestilo o ranljivosti CVE-2022-42475 FortiOS SSL-VPN, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Popravki za ranljivost so bili izdani že v novembru 2022. Ranljivost se je že izrabljala v napadih.

Ranljivi sistemi

FortiOS verzije 7.2.0 do 7.2.2
FortiOS verzije 7.0.0 do 7.0.8
FortiOS verzije 6.4.0 do 6.4.10
FortiOS verzije 6.2.0 do 6.2.11
FortiOS verzije 6.0.0 do 6.0.15
FortiOS verzije 5.6.0 do 5.6.14
FortiOS verzije 5.4.0 do 5.4.13
FortiOS verzije 5.2.0 do 5.2.15
FortiOS verzije 5.0.0 do 5.0.14
FortiOS-6K7K verzije 7.0.0 do 7.0.7
FortiOS-6K7K verzije 6.4.0 do 6.4.9
FortiOS-6K7K verzije 6.2.0 do 6.2.11
FortiOS-6K7K verzije 6.0.0 do 6.0.14

Ukrepi

Proizvajalec je popravke za ranljivost izdal že novembra:

https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/7.0.9/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.4.11/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.2.12/fortios-release-notes/553516/change-log

Zadnje verzije programske opreme so na voljo na spletni strani proizvajalca.

Če popravkov ni možno namestiti, svetujemo, da se SSL-VPN onemogoči.

Možnost zlorabe SSL-VPN se lahko omeji z dodatnimi ukrepi, npr. geoblokado. Če se SSL-VPN ne uporablja, naj se ga onemogoči.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, tudi če je na sistemu omogočeno samodejno posodabljanje.

Proizvajalec svetuje pregled sledečih indikatorjev zlorabe:

Večkratni dnevniški vnosi, ki vsebujejo:

Logdesc="Application crashed", msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"

Prisotnost spodnjih datotek na sistemu:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Omrežne povezave na sledeče sisteme:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na Fortinet podporo.

Zunanje povezave

https://www.fortiguard.com/psirt/FG-IR-22-398

Preberite tudi

Varnostna obvestila /

SI-CERT 2024-04 / Kritična ranljivost v PAN-OS

Kritična ranljivost CVE-2024-3400 sistema PAN-OS omogoča oddaljeno izvajanje poljubne kode s pravicami root uporabnika.
Več
Varnostna obvestila /

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več
Varnostna obvestila /

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več