Krytyczna podatność w Fortinet ...
Krytyczna podatność w Fortinet FortiOS SSL-VPN (CVE-2022-42475) – informacja podana przez CERT Polska w komunikacie z dnia 13 grudnia 2022r.
Wykaz podatnych wersji ...
- FortiOS wersje od 7.2.0 do 7.2.2 włącznie
- Należy zaktualizować minimum do wersji 7.2.3
- FortiOS wersje od 7.0.0 do 7.0.8 włącznie
- Należy zaktualizować minimum do wersji 7.0.9
- FortiOS wersje od 6.4.0 do 6.4.10 włącznie
- Należy zaktualizować minimum do wersji 6.4.11
- FortiOS wersje od 6.2.0 do 6.2.11 włącznie
- Należy zaktualizować minimum do wersji 6.2.12
- FortiOS-6K7K wersje od 7.0.0 do 7.0.7 włącznie
- Należy zaktualizować minimum do wersji 7.0.8
- FortiOS-6K7K wersje od 6.4.0 do 6.4.9 włącznie
- Należy zaktualizować minimum do wersji 6.4.10
- FortiOS-6K7K wersje od 6.2.0 do 6.2.11 włącznie
- Należy zaktualizować minimum do wersji 6.2.12
- FortiOS-6K7K wersje od 6.0.0 do 6.0.14 włącznie
- Należy zaktualizować minimum do wersji 6.0.15
Rekomendacje CERT Polska ...
W przypadku posiadania urządzenia z podatną wersją oprogramowania, należy zaktualizować FortiOS do wersji łatającej błąd zgodnie z rekomendacjami. Jeśli aktualizacja nie jest możliwa, należy wyłączyć funkcjonalność VPN-SSL. Zalecane jest obserwowanie logów pod kątem prób wykorzystania podatności.
Aktualizacja jest dostępna na stronie producenta (wymagany dostęp do portalu klienta) Link: https://support.fortinet.com/download/firmwareimages.aspx
Niezależnie od podatności rekomendujemy również wdrożenie reguł określających z jakiego kraju mogą być nawiązywane połączenia VPN. W przypadku większości firm powinien być to zbiór stosunkowo prosty do zdefiniowania. Mimo że nie chroni to przed wykorzystaniem błędów oprogramowania, znacząco ogranicza ryzyko i opóźnia atak w przypadku masowych prób eksploitacji, w szczególności w przypadku pojawienia się kolejnych podatności.
Jak sprawdzić, czy doszło do ataku ...
Bezwzględnie zalecamy sprawdzenie, czy doszło do wykorzystania podatności, w tym celu należy:
Przejrzeć logi pod kątem występowania powtarzających się następujących powiadomień ([...]
może być dowolnym ciągiem znaków):
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Sprawdzić system plików pod kątem ostatnio modyfikowanych plików poleceniami:
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
Szczególnie alarmujące powinno być pojawienie się plików o następujących nazwach:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Odłączenie urządzenia od Internetu ...
Źródło informacji ...
Komunikat CERT Polska z 13 grudnia 2022r. „Krytyczna podatność w Fortinet FortiOS SSL-VPN (CVE-2022-42475)” [Dostęp: 15-12-2022r., godz.: 10:10]
Komunikat „FortiOS – heap-based buffer overflow in sslvpnd” [Dostęp: 15-12-2022r., godz.: 10:10]