Varnostna obvestila / 14. 12. 2022

SI-CERT 2022-06 / Ranljivost FortiOS SSL-VPN

Objavljeno: 14.12.2022

Povzetek

Fortinet je 12.12.2022 izdal obvestilo o ranljivosti CVE-2022-42475 FortiOS SSL-VPN, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Popravki za ranljivost so bili izdani že v novembru 2022. Ranljivost se je že izrabljala v napadih.

Ranljivi sistemi

FortiOS verzije 7.2.0 do 7.2.2
FortiOS verzije 7.0.0 do 7.0.8
FortiOS verzije 6.4.0 do 6.4.10
FortiOS verzije 6.2.0 do 6.2.11
FortiOS verzije 6.0.0 do 6.0.15
FortiOS verzije 5.6.0 do 5.6.14
FortiOS verzije 5.4.0 do 5.4.13
FortiOS verzije 5.2.0 do 5.2.15
FortiOS verzije 5.0.0 do 5.0.14
FortiOS-6K7K verzije 7.0.0 do 7.0.7
FortiOS-6K7K verzije 6.4.0 do 6.4.9
FortiOS-6K7K verzije 6.2.0 do 6.2.11
FortiOS-6K7K verzije 6.0.0 do 6.0.14

Ukrepi

Proizvajalec je popravke za ranljivost izdal že novembra:

https://docs.fortinet.com/document/fortigate/7.2.3/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/7.0.9/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.4.11/fortios-release-notes/553516/change-log
https://docs.fortinet.com/document/fortigate/6.2.12/fortios-release-notes/553516/change-log

Zadnje verzije programske opreme so na voljo na spletni strani proizvajalca.

Če popravkov ni možno namestiti, svetujemo, da se SSL-VPN onemogoči.

Možnost zlorabe SSL-VPN se lahko omeji z dodatnimi ukrepi, npr. geoblokado. Če se SSL-VPN ne uporablja, naj se ga onemogoči.

Zaznavanje izrabe ranljivosti, IOC

Po podatkih proizvajalca so bile izrabe ranljivosti že zaznane v posameznih napadih. Ker je je ranljivosti izkoriščala še predno so bili na voljo popravki, upravljalcem sistemov priporočamo izvedbo standardnih ukrepov odzivanja na incidente, tudi če je na sistemu omogočeno samodejno posodabljanje.

Proizvajalec svetuje pregled sledečih indikatorjev zlorabe:

Večkratni dnevniški vnosi, ki vsebujejo:

Logdesc="Application crashed", msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"

Prisotnost spodnjih datotek na sistemu:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Omrežne povezave na sledeče sisteme:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

V primeru zaznanih indikatorjev zlorabe pošljite prijavo na SI-CERT ter se obrnite na Fortinet podporo.

Zunanje povezave

https://www.fortiguard.com/psirt/FG-IR-22-398

Preberite tudi

Varnostna obvestila / 7. 3. 2025

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.

Več

Varnostna obvestila / 17. 2. 2025

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika

Več

Varnostna obvestila / 16. 1. 2025

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.

Več