Krytyczna podatność w Fortinet FortiOS SSL-VPN (CVE-2022-42475)

cert.pl 1 rok temu

Fortinet opublikował informację o krytycznej podatności CVE-2022-42475 pozwalającej na zdalne wykonanie kodu bez uwierzytelniania w module SSL-VPN (sslvpnd) dla FortiOS. Podatność była aktywnie wykorzystywana w atakach zanim została wydana poprawka. Ze względu na charakter podatności, wszystkim administratorom urządzeń Fortinet zalecamy natychmiastowe zastosowanie się do poniższych rekomendacji.

Podatne wersje i rekomendacje aktualizacji

FortiOS wersje od 7.2.0 do 7.2.2 włącznie
- Należy zaktualizować minimum do wersji 7.2.3
FortiOS wersje od 7.0.0 do 7.0.8 włącznie
- Należy zaktualizować minimum do wersji 7.0.9
FortiOS wersje od 6.4.0 do 6.4.10 włącznie
- Należy zaktualizować minimum do wersji 6.4.11
FortiOS wersje od 6.2.0 do 6.2.11 włącznie
- Należy zaktualizować minimum do wersji 6.2.12
FortiOS-6K7K wersje od 7.0.0 do 7.0.7 włącznie
- Należy zaktualizować minimum do wersji 7.0.8
FortiOS-6K7K wersje od 6.4.0 do 6.4.9 włącznie
- Należy zaktualizować minimum do wersji 6.4.10
FortiOS-6K7K wersje od 6.2.0 do 6.2.11 włącznie
- Należy zaktualizować minimum do wersji 6.2.12
FortiOS-6K7K wersje od 6.0.0 do 6.0.14 włącznie
- Należy zaktualizować minimum do wersji 6.0.15

W przypadku posiadania urządzenia z podatną wersją oprogramowania, należy zaktualizować FortiOS do wersji łatającej błąd zgodnie z rekomendacjami. Aktualizacja jest dostępna na stronie producenta: https://support.fortinet.com/download/firmwareimages.aspx (wymagany dostęp do portalu klienta). Następnie należy sprawdzić czy podatność nie została już wykorzystana w ataku.

Jeśli aktualizacja nie jest możliwa, należy wyłączyć funkcjonalność VPN-SSL. Zalecane jest obserwowanie logów pod kątem prób wykorzystania podatności.

Niezależnie od podatności rekomendujemy również wdrożenie reguł określających z jakiego kraju mogą być nawiązywane połączenia VPN. W przypadku większości firm powinien być to zbiór stosunkowo prosty do zdefiniowania. Mimo iż nie chroni to przed wykorzystaniem błędów oprogramowania, znacząco ogranicza ryzyko i opóźnia atak w przypadku masowych prób eksploitacji, w szczególności w przypadku pojawienia się kolejnych podatności.

Sprawdzenie, czy doszło do ataku

Bezwzględnie zalecamy sprawdzenie, czy doszło do wykorzystania podatności. Znane są przypadki ataków sprzed wydania aktualizacji. W tym celu należy:

1) Przejrzeć logi pod kątem występowania powtarzających się następujących powiadomień ([...] może być dowolnym ciągiem znaków):

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

2) Sprawdzić system plików pod kątem ostatnio modyfikowanych plików poleceniami:

diagnose sys last-modified-files /data/lib diagnose sys last-modified-files /var/ diagnose sys last-modified-files /data/etc/ diagnose sys last-modified-files /flash

Szczególnie alarmujące powinno być pojawienie się plików o następujących nazwach:

/data/lib/libips.bak /data/lib/libgif.so /data/lib/libiptcp.so /data/lib/libipudp.so /data/lib/libjepg.so /var/.sslvpnconfigbk /data/etc/wxd.conf /flash

Obecność któregokolwiek z elementów (powtarzający się wpis w logach lub plik z listy) powinien być podstawą do odłączenia urządzenia od Internetu i przeprowadzenia pełnej analizy.

W przypadku wykrycia oznak ataku zachęcamy do zgłoszenia incydentu pod adresem: https://incydent.cert.pl/

Idź do oryginalnego materiału