Vulnerabilidad de riesgo crítico: FortiOS SSL-VPN (CVE-2022-42475)

El PSIRT de Fortinet ha reportado una vulnerabilidad crítica sobre el servicio de SSL-VPN que afecta a diversas versiones de FortiOS, la cual podría permitir a un atacante remoto, sin autenticación previa, la ejecución de código/comandos arbitrarios sobre los sistemas afectados.

 

Han confirmado también que ya detectaron un incidente donde esta vulnerabilidad fue explotada por atacantes, por lo que recomiendan inmediatamente la verificación de sistemas por parte de sus clientes en busca de indicadores de compromiso (podréis encontrarles al final de esta entrada), sumado a la mitigación de la misma mediante actualización a una versión superior que la resuelva.

 

Mitigación de la vulnerabilidad

 

El PSIRT ha confirmado también cuáles son las versiones de FortiOS afectadas. Debajo hay una tabla que indica las mismas y a qué versión deberían actualizarse para mitigar la vulnerabilidad (o posteriores a ellas).

 

VersiónVersión con la vulnerabilidad mitigada
FortiOS 7.2.0 a 7.2.2FortiOS 7.2.3
FortiOS 7.0.0 a 7.0.8FortiOS 7.0.9
FortiOS 6.4.0 a 6.4.10FortiOS 6.4.11
FortiOS 6.2.0 a 6.2.11FortiOS 6.2.12
FortiOS 6.0.0 a 6.0.15Versión fuera de soporte, actualizar a cualquier
versión superior con la vulnerabilidad mitigada.
FortiOS 5.6.0 a 5.6.14Versión fuera de soporte, actualizar a cualquier
versión superior con la vulnerabilidad mitigada
FortiOS 5.4.0 a 5.4.13Versión fuera de soporte, actualizar a cualquier
versión superior con la vulnerabilidad mitigada
FortiOS 5.2.0 a 5.2.15Versión fuera de soporte, actualizar a cualquier
versión superior con la vulnerabilidad mitigada
FortiOS 5.0.0 a 5.0.14Versión fuera de soporte, actualizar a cualquier
versión superior con la vulnerabilidad mitigada
FortiOS-67K7K 7.0.0 a 7.0.7FortiOS 6K7K 7.0.8 (*)
FortiOS-67K7K 6.4.0 a 6.4.9FortiOS-6K7K 6.4.10
FortiOS-67K7K 6.2.0 a 6.2.11FortiOS-6K7K 6.2.12 (*)
FortiOS-67K7K 6.0.0 a 6.0.14FortiOS-6K7K 6.0.15
* Versiones no disponibles al momento de publicar esta entrada

 

Como workaround, hasta que sea posible actualizar a las versiones que resuelven esta vulnerabilidad, han reportado que la misma puede mitigarse deshabilitando el servicio SSL-VPN. Debido a la criticidad de esta afectación, su notable impacto y el hecho de que ya está siendo explotada activamente por atacantes.

 

Indicadores de compromiso

 

De acuerdo con la investigación realizada sobre el incidente donde se explotó esta vulnerabilidad, se debe estar atento a los siguientes indicadores:

 

Múltiples entradas de log con el contenido:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

 

Presencia de los siguientes ficheros en el filesystem:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

 

Conexiones a direcciones IP sospechosas desde FortiGate:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

 

Enlaces de referencia:

PSIRT Advisories | FortiOS – heap-based buffer overflow in sslvpnd

CWE | CWE-122: Heap-based Buffer Overflow