Upozorňujeme na heap-based buffer overflow zranitelnost známou pod označením CVE-2022-42475 postihující FortiOS SSL-VPN. Její zneužití umožňuje neautentizovaným uživatelům vzdálené shození stroje a spuštění libovolného kódu pomocí zaslání speciálního requestu.
Dle dostupných informací je tato zranitelnost útočníky již aktivně zneužívána. Doporučujeme bezodkladný patch na již opravenou verzi a ověření přítomnosti následujících IoCs (indikátorů kompromitace) ve Vašich systémech:
Záznamy logů jež obsahují:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Přítomnost následujících artefaktů v adresářích:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Komunikace z FortiGate na následující IPs:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Přehled verzí:
|
Zranitelné verze |
Opravené verze |
|
FortiOS verze 7.2.0 až 7.2.2 |
FortiOS verze 7.23 nebo vyšší |
|
FortiOS verze 7.0.0 až 7.0.8 |
FortiOS verze 7.0.9 nebo vyšší |
|
FortiOS verze 6.4.0 až 6.4.10 |
FortiOS verze 6.4.11 nebo vyšší |
|
FortiOS verze 6.2.0 až 6.2.11 |
FortiOS verze 6.2.12 nebo vyšší |
|
FortiOS verze 6.0.0 až 6.0.15 |
FortiOS verze 6.0.16 nebo vyšší |
|
FortiOS verze 5.6.0 až 5.6.14 |
N/A |
|
FortiOS verze 5.4.0 až 5.4.13 |
N/A |
|
FortiOS verze 5.2.0 až 5.2.15 |
N/A |
|
FortiOS verze 5.0.0 až 5.0.14 |
N/A |
|
FortiOS-6K7K verze 7.0.0 až 7.0.7 |
FortiOS-6K7K verze 7.0.8 nebo vyšší |
|
FortiOS-6K7K verze 6.4.0 až 6.4.9 |
FortiOS-6K7K verze 6.4.10 nebo vyšší |
|
FortiOS-6K7K verze 6.2.0 až 6.2.11 |
FortiOS-6K7K verze 6.2.12 nebo vyšší |
|
FortiOS-6K7K verze 6.0.0 až 6.0.14 |
FortiOS-6K7K verze 6.0.15 nebo vyšší |
Oficiální vyjádření vývojářů naleznete zde: https://www.fortiguard.com/psirt/FG-IR-22-398