El PSIRT de Fortinet ha reportado una vulnerabilidad crítica sobre el servicio de SSL-VPN que afecta a diversas versiones de FortiOS, la cual podría permitir a un atacante remoto, sin autenticación previa, la ejecución de código/comandos arbitrarios sobre los sistemas afectados.
Han confirmado también que ya detectaron un incidente donde esta vulnerabilidad fue explotada por atacantes, por lo que recomiendan inmediatamente la verificación de sistemas por parte de sus clientes en busca de indicadores de compromiso (podréis encontrarles al final de esta entrada), sumado a la mitigación de la misma mediante actualización a una versión superior que la resuelva.
Mitigación de la vulnerabilidad
El PSIRT ha confirmado también cuáles son las versiones de FortiOS afectadas. Debajo hay una tabla que indica las mismas y a qué versión deberían actualizarse para mitigar la vulnerabilidad (o posteriores a ellas).
Versión | Versión con la vulnerabilidad mitigada |
FortiOS 7.2.0 a 7.2.2 | FortiOS 7.2.3 |
FortiOS 7.0.0 a 7.0.8 | FortiOS 7.0.9 |
FortiOS 6.4.0 a 6.4.10 | FortiOS 6.4.11 |
FortiOS 6.2.0 a 6.2.11 | FortiOS 6.2.12 |
FortiOS 6.0.0 a 6.0.15 | Versión fuera de soporte, actualizar a cualquier versión superior con la vulnerabilidad mitigada. |
FortiOS 5.6.0 a 5.6.14 | Versión fuera de soporte, actualizar a cualquier versión superior con la vulnerabilidad mitigada |
FortiOS 5.4.0 a 5.4.13 | Versión fuera de soporte, actualizar a cualquier versión superior con la vulnerabilidad mitigada |
FortiOS 5.2.0 a 5.2.15 | Versión fuera de soporte, actualizar a cualquier versión superior con la vulnerabilidad mitigada |
FortiOS 5.0.0 a 5.0.14 | Versión fuera de soporte, actualizar a cualquier versión superior con la vulnerabilidad mitigada |
FortiOS-67K7K 7.0.0 a 7.0.7 | FortiOS 6K7K 7.0.8 (*) |
FortiOS-67K7K 6.4.0 a 6.4.9 | FortiOS-6K7K 6.4.10 |
FortiOS-67K7K 6.2.0 a 6.2.11 | FortiOS-6K7K 6.2.12 (*) |
FortiOS-67K7K 6.0.0 a 6.0.14 | FortiOS-6K7K 6.0.15 |
Como workaround, hasta que sea posible actualizar a las versiones que resuelven esta vulnerabilidad, han reportado que la misma puede mitigarse deshabilitando el servicio SSL-VPN. Debido a la criticidad de esta afectación, su notable impacto y el hecho de que ya está siendo explotada activamente por atacantes.
Indicadores de compromiso
De acuerdo con la investigación realizada sobre el incidente donde se explotó esta vulnerabilidad, se debe estar atento a los siguientes indicadores:
Múltiples entradas de log con el contenido:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Presencia de los siguientes ficheros en el filesystem:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Conexiones a direcciones IP sospechosas desde FortiGate:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Enlaces de referencia:
PSIRT Advisories | FortiOS – heap-based buffer overflow in sslvpnd