Varnostna obvestila / 14. 12. 2022

SI-CERT 2022-06 / Ranljivost FortiOS SSL-VPN

Objavljeno: 14.12.2022

Povzetek

Fortinet je 12.12.2022 izdal obvestilo o ranljivosti CVE-2022-42475 FortiOS SSL-VPN, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Popravki za ranljivost so bili izdani že v novembru 2022. Ranljivost se je že izrabljala v napadih.

Ranljivi sistemi

FortiOS verzije 7.2.0 do 7.2.2
FortiOS verzije 7.0.0 do 7.0.8
FortiOS verzije 6.4.0 do 6.4.10
FortiOS verzije 6.2.0 do 6.2.11
FortiOS verzije 6.0.0 do 6.0.15
FortiOS verzije 5.6.0 do 5.6.14
FortiOS verzije 5.4.0 do 5.4.13
FortiOS verzije 5.2.0 do 5.2.15
FortiOS verzije 5.0.0 do 5.0.14
FortiOS-6K7K verzije 7.0.0 do 7.0.7
FortiOS-6K7K verzije 6.4.0 do 6.4.9
FortiOS-6K7K verzije 6.2.0 do 6.2.11
FortiOS-6K7K verzije 6.0.0 do 6.0.14

Ukrepi

Proizvajalec je popravke za ranljivost izdal že novembra:

https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/7.0.9/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.4.11/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.2.12/fortios-release-notes/553516/change-log

Zadnje verzije programske opreme so na voljo na spletni strani proizvajalca.

Če popravkov ni možno namestiti, svetujemo, da se SSL-VPN onemogoči.

Možnost zlorabe SSL-VPN se lahko omeji z dodatnimi ukrepi, npr. geoblokado. Če se SSL-VPN ne uporablja, naj se ga onemogoči.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, tudi če je na sistemu omogočeno samodejno posodabljanje.

Proizvajalec svetuje pregled sledečih indikatorjev zlorabe:

Večkratni dnevniški vnosi, ki vsebujejo:

Logdesc="Application crashed", msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"

Prisotnost spodnjih datotek na sistemu:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Omrežne povezave na sledeče sisteme:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na Fortinet podporo.

Zunanje povezave

https://www.fortiguard.com/psirt/FG-IR-22-398

Preberite tudi

Varnostna obvestila / 15. 3. 2023

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Microsoft je zaznal aktivno izkoriščanje ranljivosti, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows

Več

Varnostna obvestila / 14. 12. 2022

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022 Povzetek Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se …

Več

Varnostna obvestila / 2. 11. 2022

SI-CERT 2022-05 / Ranljivosti OpenSSL 3 knjižnice

OpenSSL knjižnica različic 3.0.0 do 3.0.6 vsebuje ranljivosti pri preverjanjih X.509 digitalnih potrdil, ki lahko povzročijo izpad delovanja (denial of service) ali morda tudi zagon programske kode na daljavo (remote code execution). Zaenkrat še ni podatkov o izkoriščanju ranljivosti, vseeno svetujemo nadgradnjo na različico 3.0.7.

Več