Skoči na vsebino

SI-CERT 2022-06 / Ranljivost FortiOS SSL-VPN

Objavljeno: 14.12.2022

Povzetek

Fortinet je 12.12.2022 izdal obvestilo o ranljivosti CVE-2022-42475 FortiOS SSL-VPN, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Popravki za ranljivost so bili izdani že v novembru 2022. Ranljivost se je že izrabljala v napadih.

Ranljivi sistemi

FortiOS verzije 7.2.0 do 7.2.2
FortiOS verzije 7.0.0 do 7.0.8
FortiOS verzije 6.4.0 do 6.4.10
FortiOS verzije 6.2.0 do 6.2.11
FortiOS verzije 6.0.0 do 6.0.15
FortiOS verzije 5.6.0 do 5.6.14
FortiOS verzije 5.4.0 do 5.4.13
FortiOS verzije 5.2.0 do 5.2.15
FortiOS verzije 5.0.0 do 5.0.14
FortiOS-6K7K verzije 7.0.0 do 7.0.7
FortiOS-6K7K verzije 6.4.0 do 6.4.9
FortiOS-6K7K verzije 6.2.0 do 6.2.11
FortiOS-6K7K verzije 6.0.0 do 6.0.14

Ukrepi

Proizvajalec je popravke za ranljivost izdal že novembra:

https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/7.0.9/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.4.11/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.2.12/fortios-release-notes/553516/change-log

Zadnje verzije programske opreme so na voljo na spletni strani proizvajalca.

Če popravkov ni možno namestiti, svetujemo, da se SSL-VPN onemogoči.

Možnost zlorabe SSL-VPN se lahko omeji z dodatnimi ukrepi, npr. geoblokado. Če se SSL-VPN ne uporablja, naj se ga onemogoči.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, tudi če je na sistemu omogočeno samodejno posodabljanje.

Proizvajalec svetuje pregled sledečih indikatorjev zlorabe:

Večkratni dnevniški vnosi, ki vsebujejo:

Logdesc="Application crashed", msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"

Prisotnost spodnjih datotek na sistemu:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Omrežne povezave na sledeče sisteme:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na Fortinet podporo.

Zunanje povezave

https://www.fortiguard.com/psirt/FG-IR-22-398

Preberite tudi

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več

SI-CERT 2023-03 / Ranljivost FortiOS in FortiProxy

Ranljivost CVE-2023-27997 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več