FortiOS SSL-VPN buffer overflow
HVA:
FortiNet rapporterer om kjent sårbarhet, CVE-2022-42475 ved deres FortiOS som affekterer SSL-VPN.
Sårbarheten gjør det mulig for ekstern uautorisert aktør å kjøre vilkårlig kode på affekterte systemer.
Fortinet er kjent med at sårbarheten benyttes aktivt. Netsecurity anbefaler snarlig oppdatering av berørte systemer.
De berørte versjoner av FortiOS er:
- FortiOS versjon 7.2.0 til og med 7.2.2
- FortiOS versjon 7.0.0 til og med 7.0.8
- FortiOS versjon 6.4.0 til og med 6.4.10
- FortiOS versjon 6.2.0 til og med 6.2.11
- FortiOS-6K7K versjon 7.0.0 til og med 7.0.7
- FortiOS-6K7K versjon 6.4.0 til og med 6.4.9
- FortiOS-6K7K versjon 6.2.0 til og med 6.2.11
- FortiOS-6K7K versjon 6.0.0 til og med 6.0.14
REFERANSER:
CVE-2022-42475 med CVSS 3.0 score på 9.3
Sårbarheten er tidligere avdekket, men da var man ikke kjent med at sårbarheten ble aktivt utnyttet. Nå bekrefter FortiNet selv at sårbarheten benyttes aktivt. [2]
NÅR:
De berørte versjonene kan alle utnyttes, og Fortinet har lansert oppdateringer. Fortinet har lansert følgende oppdateringer:
- FortiOS versjon 7.2.3 eller nyere
- FortiOS versjon 7.0.9 eller nyere
- FortiOS versjon 6.4.11 eller nyere
- FortiOS versjon 6.2.12 eller nyere
- FortiOS-6K7K versjon 7.0.8 eller nyere
- FortiOS-6K7K versjon 6.4.10 eller nyere
- FortiOS-6K7K versjon 6.2.12 eller nyere
- FortiOS-6K7K versjon 6.0.15 eller nyere
HVOR:
I følge Fortinet selv, kan man undersøke om system er utnyttet ved å se etter følgende: [1]
Flere loggoppføringer med:- Logdesc="Application crashed"
- msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"
Spor i filsystem på mulig kompromittering:
- /data/lib/libips.back
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjpeg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Utgående nettverkskoblinger mot følgende IP/Port kombinasjon:
- 188.34.130.40:444
- 103.131.189.143:30080, 30081, 30443, 20443
- 192.36.119.61:8443, 444
- 172.247.168.153:8033
HVA KAN SKJE:
Uvedkommende kan få kontroll på enhet via fjernkjørt kode.
SANNSYNLIGHET:
Netsecurity er ikke per dags dato kjent med at sårbarheten er blitt utnyttet i Norge, men anser muligheten for utnyttelse øker i takt med kjennskap om sårbarhet spres.
HVA BØR DU GJØRE:
NB: Merk at de som abonnerer på kritisk varsling fra oss ikke vil få nye varsling på e-post når vi oppdaterer vurderingene - sjekk innom siden regelmessig utover kvelden og utover i uken.
Netsecurity's anbefaling er å patche sårbare systemer så snarlig det lar seg gjøre.
Prepare – Identifiser komponenter / programvare / tjenester som er berørt
-
Besøk leverandørens nettsider for å se om de har vurdert og håndtert CVE-2022-42475
-
Be evt leverandør om å bekrefte status på håndtering
Identify – Sjekke om svakheten allerede har blitt utnyttet.
- Ett eksempel er å se etter bakdører som kan ha blitt installert av en angriper for å beholde fotfestet selv om sårbarheten skulle bli håndtert
Containment - blokkering
- Kreve autentisering og muligens også VPN før en får tilgang til berørte applikasjoner
- Aktivere regler som gjenkjenner og stanser forsøk på å utnytte svakhet
Eradication – oppdage / fjerne komponenter
- Flere leverandører av sikkerhetsprodukter vil kunne gjenkjenne og forsøke å fjerne komponenter som blir installert av angriper
- Vurder å bygge opp fra mal og sikkerhetskopi for å være sikker på at alle endringer angriper kan ha gjort er fjernet, pass på å fjerne sårbarhet før publisering
Recovery - gjenopprett til normal tilstand
Her antatt å gå fra tilstand SÅRBAR til BESKYTTET. Det vil være behov for flere aktiviteter dersom en avdekker at kompromittering har skjedd
- Snarest mulig: Oppdater berørte komponenter der dere har ansvar for dette selv
- Følg opp leverandører
Lessons learned – bruk denne hendelsen til å dokumentere og forbedre
- Scenario i beredskapsplan;
Sårbarhet i programvare / komponenter som er del av Supply Chain. - Katalog / inventory over programvare og komponenter.
Husk å dokumentere systemansvarlige - Rutine for å oppdatere komponenter. En hovedregel er å være oppdatert rimelig raskt, teste på en relevant gruppe før oppdatering publiseres til alle og ha plan for å rulle tilbake ved feil
- Noen har aldri oppdatert til sårbar versjon og kan denne gang være fornøyd med at de ikke er på "bleeding edge" når det gjelder oppdateringer.
KONTAKT MED NETSECURITY:
Ta gjerne kontakt med din kontaktperson i Netsecurity for mer informasjon og assistanse, se https://www.netsecurity.no/under-angrep. Vi kan bistå med å verifisere om du er sårbar eller allerede har blitt utsatt for angrep. Vi kan også gi råd / teknisk assistanse for å sikre din infrastruktur.
KILDER:
[1] : https://www.fortiguard.com/psirt/FG-IR-22-398
Endringslogg:
13 Des 2022 08:50 : Første publisering