Kritična ranjivost udaljenog izvođenja koda u FortiOS SSL-VPN
Dana 12. prosinca 2022. FortiGuard Labs objavio je publikaciju FG-IR-22-398 u vezi s kritičnom
(CVSSv3 9.3) u FortiOS SSL-VPN. Ranjivost može dopustiti udaljenom neautentificiranom napadaču izvršavanje proizvoljnog koda ili naredbi putem posebno izrađenih zahtjeva. Ranjivost ne zahvaća sustave koji imaju onemogućenu VPN-SSL funkcionalnost.
Zahvaćeni su sljedeći sustavi:
-
FortiOS verzija 7.2.0 do 7.2.2
-
FortiOS verzija 7.0.0 do 7.0.8
-
FortiOS verzija 6.4.0 do 6.4.10
-
FortiOS verzija 6.2.0 do 6.2.11
-
FortiOS-6K7K verzija 7.0.0 do 7.0.7
-
FortiOS-6K7K verzija 6.4.0 do 6.4.9
-
FortiOS-6K7K verzija 6.2.0 do 6.2.11
-
FortiOS-6K7K verzija 6.0.0 do 6.0.14
Preporuke:
Nadogradnja na:
-
FortiOS verzija 7.2.3 ili novija
-
FortiOS verzija 7.0.9 ili novija
-
FortiOS verzija 6.4.11 ili novija
-
FortiOS verzija 6.2.12 ili novija
-
FortiOS-6K7K verzija 7.0.8 ili novija
-
FortiOS-6K7K verzija 6.4.10 ili novija
-
FortiOS-6K7K verzija 6.2.12 ili novija
-
FortiOS-6K7K verzija 6.0.15 ili novija
Također savjetujemo provjeru dnevničkih zapisa kako biste se uvjerili da nije ostvaren neovlašteni pristup sustavu temeljem trenutno poznatih indikatora kompromitacije:
Pojavljivanje dnevničkih zapisa s:
-
Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…],Signal 11 received, Backtrace: […]“
Prisutnost sljedećih datoteka u sustavu:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Spajanje sustava na sumnjive adrese s FortiGate sustava:
188.34.130.40:444
103.131.189.143:30080, 30081, 30443, 20443
192.36.119.61:8443, 444
172.247.168.153:8033
Za više informacija:
[1]
https://www.fortiguard.com/psirt/FG-IR-22-398
[2]
https://www.bleepingcomputer.com/news/security/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks/
[3]
https://thehackernews.com/2022/12/fortinet-warns-of-active-exploitation.html
[14.12.2022 - 12:03] - inicijalna publikacija