Skip to main content

    FortiOS SSL-VPN buffer overflow

    HVA:

    FortiNet rapporterer om kjent sårbarhet, CVE-2022-42475 ved deres FortiOS som affekterer SSL-VPN. 

    Sårbarheten gjør det mulig for ekstern uautorisert aktør å kjøre vilkårlig kode på affekterte systemer.

    Fortinet er kjent med at sårbarheten benyttes aktivt. Netsecurity anbefaler snarlig oppdatering av berørte systemer.

    De berørte versjoner av FortiOS er:

    • FortiOS versjon 7.2.0 til og med 7.2.2
    • FortiOS versjon 7.0.0 til og med 7.0.8
    • FortiOS versjon 6.4.0 til og med 6.4.10
    • FortiOS versjon 6.2.0 til og med 6.2.11
    • FortiOS-6K7K versjon 7.0.0 til og med 7.0.7
    • FortiOS-6K7K versjon 6.4.0 til og med 6.4.9
    • FortiOS-6K7K versjon 6.2.0 til og med 6.2.11
    • FortiOS-6K7K versjon 6.0.0 til og med 6.0.14

    REFERANSER:

    CVE-2022-42475 med CVSS 3.0 score på 9.3

    Sårbarheten er tidligere avdekket, men da var man ikke kjent med at sårbarheten ble aktivt utnyttet. Nå bekrefter FortiNet selv at sårbarheten benyttes aktivt. [2]

    NÅR: 

    De berørte versjonene kan alle utnyttes, og Fortinet har lansert oppdateringer. Fortinet har lansert følgende oppdateringer:

    • FortiOS versjon 7.2.3 eller nyere
    • FortiOS versjon 7.0.9 eller nyere
    • FortiOS versjon 6.4.11 eller nyere
    • FortiOS versjon 6.2.12 eller nyere
    • FortiOS-6K7K versjon 7.0.8 eller nyere
    • FortiOS-6K7K versjon 6.4.10 eller nyere
    • FortiOS-6K7K versjon 6.2.12 eller nyere
    • FortiOS-6K7K versjon 6.0.15 eller nyere

    HVOR:

    I følge Fortinet selv, kan man undersøke om system er utnyttet ved å se etter følgende: [1]

    Flere loggoppføringer med:
    • Logdesc="Application crashed"
    • msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"

    Spor i filsystem på mulig kompromittering:

    • /data/lib/libips.back
    • /data/lib/libgif.so
    • /data/lib/libiptcp.so
    • /data/lib/libipudp.so
    • /data/lib/libjpeg.so
    • /var/.sslvpnconfigbk
    • /data/etc/wxd.conf
    • /flash

    Utgående nettverkskoblinger mot følgende IP/Port kombinasjon:

    • 188.34.130.40:444
    • 103.131.189.143:30080, 30081, 30443, 20443
    • 192.36.119.61:8443, 444
    • 172.247.168.153:8033

     

    HVA KAN SKJE:

    Uvedkommende kan få kontroll på enhet via fjernkjørt kode.


    SANNSYNLIGHET: 

    Netsecurity er ikke per dags dato kjent med at sårbarheten er blitt utnyttet i Norge, men anser muligheten for utnyttelse øker i takt med kjennskap om sårbarhet spres. 

    HVA BØR DU GJØRE:

    NB: Merk at de som abonnerer på kritisk varsling fra oss ikke vil få nye varsling på e-post når vi oppdaterer vurderingene - sjekk innom siden regelmessig utover kvelden og utover i uken.

    Netsecurity's anbefaling er å patche sårbare systemer så snarlig det lar seg gjøre.

    Prepare – Identifiser komponenter / programvare / tjenester som er berørt
    • Besøk leverandørens nettsider for å se om de har vurdert og håndtert CVE-2022-42475

    • Be evt leverandør om å bekrefte status på håndtering

    Identify – Sjekke om svakheten allerede har blitt utnyttet.
    • Ett eksempel er å se etter bakdører som kan ha blitt installert av en angriper for å beholde fotfestet selv om sårbarheten skulle bli håndtert
     Containment - blokkering
    • Kreve autentisering og muligens også VPN før en får tilgang til berørte applikasjoner
    • Aktivere regler som gjenkjenner og stanser forsøk på å utnytte svakhet
    Eradication – oppdage / fjerne komponenter
    • Flere leverandører av sikkerhetsprodukter vil kunne gjenkjenne og forsøke å fjerne komponenter som blir installert av angriper
    • Vurder å bygge opp fra mal og sikkerhetskopi for å være sikker på at alle endringer angriper kan ha gjort er fjernet, pass på å fjerne sårbarhet før publisering
    Recovery - gjenopprett til normal tilstand

    Her antatt å gå fra tilstand SÅRBAR til BESKYTTET. Det vil være behov for flere aktiviteter dersom en avdekker at kompromittering har skjedd

    • Snarest mulig: Oppdater berørte komponenter der dere har ansvar for dette selv
    • Følg opp leverandører
    Lessons learned – bruk denne hendelsen til å dokumentere og forbedre
    • Scenario i beredskapsplan;
      Sårbarhet i programvare / komponenter som er del av Supply Chain.
    • Katalog / inventory over programvare og komponenter.
      Husk å dokumentere systemansvarlige
    • Rutine for å oppdatere komponenter. En hovedregel er å være oppdatert rimelig raskt, teste på en relevant gruppe før oppdatering publiseres til alle og ha plan for å rulle tilbake ved feil
      • Noen har aldri oppdatert til sårbar versjon og kan denne gang være fornøyd med at de ikke er på "bleeding edge" når det gjelder oppdateringer. 

    KONTAKT MED NETSECURITY:

    Ta gjerne kontakt med din kontaktperson i Netsecurity for mer informasjon og assistanse, se https://www.netsecurity.no/under-angrep. Vi kan bistå med å verifisere om du er sårbar eller allerede har blitt utsatt for angrep. Vi kan også gi råd / teknisk assistanse for å sikre din infrastruktur.

    KILDER:

    [1] : https://www.fortiguard.com/psirt/FG-IR-22-398

    [2] : https://www.techtarget.com/searchsecurity/news/252528274/Fortinet-confirms-VPN-vulnerability-exploited-in-the-wild

    Endringslogg:

    13 Des 2022 08:50 : Første publisering

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm