Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad identificada como CVE-2022-42475, es un desbordamiento de búfer en varias versiones de ForiOS que recibió una puntuación CVSSv3 de 9,3. Un atacante remoto no autenticado podría explotar esta vulnerabilidad con una solicitud especialmente diseñada y obtener la ejecución del código.
Un atacante puede realizar:
Manipulación de los recursos dinámicos de ciertos procesos hasta el punto de desviar su operación.
El impacto es un código arbitrario o la ejecución de un comando.
Recursos afectados
Distribuciones vulnerables:
- FortiOS versión 7.2.0 a 7.2.2
- FortiOS versión 7.0.0.0 a 7.0.8
- FortiOS versión 6.4.0 a 6.4.10
- FortiOS versión 6.2.0 a 6.2.11
- FortiOS versión 6.0.0 a 6.0.15
- FortiOS versión 5.6.0 a 5.6.14
- FortiOS versión 5.4.0 a 5.4.13
- FortiOS versión 5.2.0 a 5.2.15
- FortiOS versión 5.0.0 a 5.0.14
- FortiOS-6k7k versión 7.0.0 a 7.0.7
- FortiOS-6k7k versión 6.4.0 a 6.4.9
- FortiOS-6k7k versión 6.2.0 a 6.2.11
- FortiOS-6k7k versión 6.0.0 a 6.0.14
Solución
Actualizar a la última versión ofrecida por Fortinet:
- FortiOS versión 7.2.3 o superior
- FortiOS versión 7.0.9 o superior
- FortiOS versión 6.4.11 o superior
- FortiOS versión 6.2.22 o superior
- FortiOS-6k7k versión 7.0.8 o superior
- FortiOS-6k7k versión 6.4.10 o superior
- FortiOS-6k7k versión 6.2.12 o superior
- FortiOS-6k7k versión 6.0.15 o superior
Si la actualización no es posible:
- Deshabilite la funcionalidad VPN-SSL si no es esencial.
- Observe sus registro y verifique que no se haya realizado ningún acceso no autorizado.
- En cualquier caso, configure reglas de acceso condicional para limitar su vector de exposición.
Indicadores de compromiso
Fortinet tiene conocimiento de una instancia en la que se explotó esta vulnerabilidad y recomienda validar inmediatamente sus sistemas contra los siguientes indicadores de compromiso:
Múltiples entradas de registro con:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Presencia de los siguientes artefactos en el sistema de archivos:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Conexiones a direcciones IP sospechosas desde FortiGate:
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 192.36.119.61:8443,444
- 172.247.168.153:8033
Recomendaciones
Los actores de amenazas han estado aprovechando las vulnerabilidades en las VPN SSL de Fortinet en ataques durante varios años hasta el punto de que la Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron un aviso dedicado a estas fallas y su explotación en 2021. Dado que esta vulnerabilidad ya ha sido explotada, las organizaciones deben parchear CVE-2022-42475 inmediatamente.
Referencias
Fortinet lanza parche de emergencia para una vulnerabilidad crítica