Fortinet siger, at SSL-VPN pre-auth RCE-fejl udnyttes aktivt i angreb
Fortinet opfordrer kunderne til at udføre en opdatering af deres løsninger mod en aktivt udnyttet FortiOS SSL-VPN-sårbarhed, der kan tillade uautoriseret fjernudførelse af kode på enhederne.
Sikkerhedsfejlen spores som CVE-2022-40684 og er en bunkebaseret bufferoverløbsfejl i FortiOS sslvpnd. Når udnyttet, fejlen kunne tillade ikke-godkendte brugere at gå ned enheder eksternt og potentielt udføre kodeudførelse.
“En bunkebaseret bufferoverløbssårbarhed [CWE-122] i FortiOS SSL-VPN kan give en ekstern uautoriseret angriber mulighed for at udføre vilkårlig kode eller kommandoer via specifikt udformede anmodninger,”
siger Fortinet i en sikkerhedsrådgivning, der blev frigivet i dag.
Som rapporteret af LeMagIT afslørede det franske cybersikkerhedsfirma Olympe Cyberdefense først Fortinet zero-day-sårbarheden og advarede brugerne om at overvåge deres logfiler for mistænkelig aktivitet, indtil en patch blev frigivet.
Fortinet rettede stille fejlen den 28. november, da FortiOS 7.2.3 blev frigivet. Virksomheden afslørede dog ikke oplysninger om sårbarheden i produktbemærkningerne.
I dag udgav Fortinet sikkerhedsrådgivning FG-IR-22-398, advarsel om, at sårbarheden er blevet udnyttet aktivt i angreb, og at alle brugere skal opdatere til følgende versioner for at rette fejlen.
- FortiOS version 7.2.3 eller nyere
- FortiOS version 7.0.9 eller nyere
- FortiOS version 6.4.11 eller nyere
- FortiOS version 6.2.12 eller nyere
- FortiOS-6K7K version 7.0.8 eller nyere
- FortiOS-6K7K version 6.4.10 eller nyere
- FortiOS-6K7K version 6.2.12 eller nyere
- FortiOS-6K7K version 6.0.15 eller nyere
Udnyttet aktivt i angreb
Mens Fortinet ikke har givet nogen oplysninger om, hvordan fejlen udnyttes, delte de IOC’er relateret til angreb.
Som tidligere delt af Olympe Cyberdefense og nu Fortinet, når sårbarheden udnyttes, genererer den følgende poster i logfilerne:
Logdesc="Applikationen styrtede ned" og msg="[...] application:sslvpnd,[...], Signal 11 modtaget, Backtrace: [...]"
Fortinet advarede om, at følgende filsystemartefakter ville være til stede på udnyttede enheder:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Fortinet delte også en liste over IP-adresser, der blev set udnytte sårbarheden, der er anført nedenfor.
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 192.36.119.61:8443,444
- 172.247.168.153:8033
Af disse IP-adresser har trusselsefterretningsfirmaet Grey Noise opdaget adressen 103.131.189.143, der tidligere udførte netværksscanninger i oktober.
Hvis du ikke er i stand til at anvende programrettelserne med det samme, foreslår Olympe Cyberdefense, at kunder overvåger logfiler, deaktiverer VPN-SSL-funktionaliteten og opretter adgangsregler for at begrænse forbindelser fra specifikke IP-adresser.
Kilde: Olympe Cyberdefense
Fotokredit: Fortinet