1. Avisos de seguridad
  2. Parches de Fortinet Zero Day en FortiOS SSL VPN
Fecha de publicación: Mié, 14/12/2022 - 13:43

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad identificada como CVE-2022-42475, es un desbordamiento de búfer en varias versiones de ForiOS que recibió una puntuación CVSSv3 de 9,3. Un atacante remoto no autenticado podría explotar esta vulnerabilidad con una solicitud especialmente diseñada y obtener la ejecución del código.

Un atacante puede realizar:

Manipulación de los recursos dinámicos de ciertos procesos hasta el punto de desviar su operación.

El impacto es un código arbitrario o la ejecución de un comando.

Recursos afectados

Distribuciones vulnerables:

  • FortiOS versión 7.2.0 a 7.2.2
  • FortiOS versión 7.0.0.0 a 7.0.8
  • FortiOS versión 6.4.0 a 6.4.10
  • FortiOS versión 6.2.0 a 6.2.11
  • FortiOS versión 6.0.0 a 6.0.15
  • FortiOS versión 5.6.0 a 5.6.14
  • FortiOS versión 5.4.0 a 5.4.13
  • FortiOS versión 5.2.0 a 5.2.15
  • FortiOS versión 5.0.0 a 5.0.14
  • FortiOS-6k7k versión 7.0.0 a 7.0.7
  • FortiOS-6k7k versión 6.4.0 a 6.4.9
  • FortiOS-6k7k versión 6.2.0 a 6.2.11
  • FortiOS-6k7k versión 6.0.0 a 6.0.14

Solución

Actualizar a la última versión ofrecida por Fortinet:

  • FortiOS versión 7.2.3 o superior
  • FortiOS versión 7.0.9 o superior
  • FortiOS versión 6.4.11 o superior
  • FortiOS versión 6.2.22 o superior
  • FortiOS-6k7k versión 7.0.8 o superior
  • FortiOS-6k7k versión 6.4.10 o superior
  • FortiOS-6k7k versión 6.2.12 o superior
  • FortiOS-6k7k versión 6.0.15 o superior

Si la actualización no es posible:

  • Deshabilite la funcionalidad VPN-SSL si no es esencial.
  • Observe sus registro y verifique que no se haya realizado ningún acceso no autorizado.
  • En cualquier caso, configure reglas de acceso condicional para limitar su vector de exposición.

Indicadores de compromiso

Fortinet tiene conocimiento de una instancia en la que se explotó esta vulnerabilidad y recomienda validar inmediatamente sus sistemas contra los siguientes indicadores de compromiso:

Múltiples entradas de registro con:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Presencia de los siguientes artefactos en el sistema de archivos:

  • /data/lib/libips.bak
  • /data/lib/libgif.so
  • /data/lib/libiptcp.so
  • /data/lib/libipudp.so
  • /data/lib/libjepg.so
  • /var/.sslvpnconfigbk
  • /data/etc/wxd.conf
  • /flash

Conexiones a direcciones IP sospechosas desde FortiGate:

  • 188.34.130.40:444
  • 103.131.189.143:30080,30081,30443,20443
  • 192.36.119.61:8443,444
  • 172.247.168.153:8033

Recomendaciones

Los actores de amenazas han estado aprovechando las vulnerabilidades en las VPN SSL de Fortinet en ataques durante varios años hasta el punto de que la Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron un aviso dedicado a estas fallas y su explotación en 2021. Dado que esta vulnerabilidad ya ha sido explotada, las organizaciones deben parchear CVE-2022-42475 inmediatamente.

Referencias

Fortinet lanza parche de emergencia para una vulnerabilidad crítica