Upozorňujeme na heap-based buffer overflow zranitelnost známou pod označením CVE-2022-42475 postihující FortiOS SSL-VPN. Její zneužití umožňuje neautentizovaným uživatelům vzdálené shození stroje a spuštění libovolného kódu pomocí zaslání speciálního requestu.
Dle dostupných informací je tato zranitelnost útočníky již aktivně zneužívána. Doporučujeme bezodkladný patch na již opravenou verzi a ověření přítomnosti následujících IoCs (indikátorů kompromitace) ve Vašich systémech:
Záznamy logů jež obsahují:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Přítomnost následujících artefaktů v adresářích:
/data/lib/libips.bak /data/lib/libgif.so /data/lib/libiptcp.so /data/lib/libipudp.so /data/lib/libjepg.so /var/.sslvpnconfigbk /data/etc/wxd.conf /flash
Komunikace z FortiGate na následující IPs:
188.34.130.40:444 103.131.189.143:30080,30081,30443,20443 192.36.119.61:8443,444 172.247.168.153:8033
Přehled verzí:
Zranitelné verze
Opravené verze
FortiOS verze 7.2.0 až 7.2.2
FortiOS verze 7.23 nebo vyšší
FortiOS verze 7.0.0 až 7.0.8
FortiOS verze 7.0.9 nebo vyšší
FortiOS verze 6.4.0 až 6.4.10
FortiOS verze 6.4.11 nebo vyšší
FortiOS verze 6.2.0 až 6.2.11
FortiOS verze 6.2.12 nebo vyšší
FortiOS verze 6.0.0 až 6.0.15
FortiOS verze 6.0.16 nebo vyšší
FortiOS verze 5.6.0 až 5.6.14
N/A
FortiOS verze 5.4.0 až 5.4.13
N/A
FortiOS verze 5.2.0 až 5.2.15
N/A
FortiOS verze 5.0.0 až 5.0.14
N/A
FortiOS-6K7K verze 7.0.0 až 7.0.7
FortiOS-6K7K verze 7.0.8 nebo vyšší
FortiOS-6K7K verze 6.4.0 až 6.4.9
FortiOS-6K7K verze 6.4.10 nebo vyšší
FortiOS-6K7K verze 6.2.0 až 6.2.11
FortiOS-6K7K verze 6.2.12 nebo vyšší
FortiOS-6K7K verze 6.0.0 až 6.0.14
FortiOS-6K7K verze 6.0.15 nebo vyšší
Oficiální vyjádření vývojářů naleznete zde: https://www.fortiguard.com/psirt/FG-IR-22-398
Celá zpráva
15.12.2022