TI - CVE-2022-42475 - Fortinet SSL-VPN Heap-based buffer overflow - 9.8

Beschreibung:

Fortinet veröffentlichte am 12.12.2022 ein Security Advisory für eine Schwachstelle in der SSL-VPN Komponente. Die Schwachstelle kann aus der Ferne ohne eine gültige Authentifizierung ausgenutzt werden. Eine Ausnutzung ermöglicht das Ausführen von beliebigen Kommandos oder Programmen. Fortinet berichtet bereits von einer erfolgreichen Ausnutzung der Schwachstelle. Die nachfolgenden Indikatoren weisen möglicherweise auf einen erfolgreichen Angriff hin. Fortinet empfiehlt die Instanzen zu prüfen. Mehrere Zeilen dieser Art in den Log Events: Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]
Verdächtige Dateien auf dem Dateisystem der Fortinet Appliance: /data/lib/libips.bak /data/lib/libgif.so /data/lib/libiptcp.so /data/lib/libipudp.so /data/lib/libjepg.so /var/.sslvpnconfigbk /data/etc/wxd.conf /flash
Verdächtige IP-Adressen die mit beobachteten Angriffen in Verbindung stehen: 188.34.130.40:444 103.131.189.143:30080,30081,30443,20443 192.36.119.61:8443,444 172.247.168.153:8033
Die IP Adresse 103.131.189.143 scheint auch bereits im Oktober Scans nach Fortinet Produkten im Internet durchgeführt zu haben.

Betroffene Systeme:

FortiOS Version 7.2.0 - 7.2.2
FortiOS Version 7.0.0 - 7.0.8
FortiOS Version 6.4.0 - 6.4.10
FortiOS Version 6.2.0 - 6.2.11
FortiOS-6K7K Version 7.0.0 - 7.0.7
FortiOS-6K7K Version 6.4.0 - 6.4.9
FortiOS-6K7K Version 6.2.0 - 6.2.11
FortiOS-6K7K Version 6.0.0 - 6.0.14

Behobene Versionen:

FortiOS Version 7.2.3 oder höher
FortiOS Version 7.0.9 oder höher
FortiOS Version 6.4.11 oder höher
FortiOS Version 6.2.12 oder höher
FortiOS-6K7K Version 7.0.8 oder höher
FortiOS-6K7K Version 6.4.10 oder höher
FortiOS-6K7K Version 6.2.12 oder höher
FortiOS-6K7K Version 6.0.15 oder höher

Empfohlene Maßnahmen:

Wir empfehlen die umgehende Installation der Patches auf den betroffenen Assets. Wenn eine Installation nicht möglich ist, empfiehlt der Hersteller SSL-VPN vorübergehend zu deaktivieren. Zudem empfehlen wir die betroffenen Assets auf die genannten IoCs zu überprüfen.

Einschätzung der Bedrohung:

Der Hersteller Fortinet gab bekannt, dass es bereits einen Fall einer erfolgreichen Ausnutzung der Schwachstelle gibt. Da das Produkt weitverbreitet und exponiert am Perimeter implementiert wird, ist mit einer zeitnahen Angriffswelle zu rechnen.

Weiterführende Links:

https://www.fortiguard.com/psirt/FG-IR-22-398  https://www.bleepingcomputer.com/news/security/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks/