Fortinet anuncia una vulnerabilidad critica, cero day, que se explota fácilmente de manera remota comprometiendo el firewall.
Esta falla de seguridad se verifica como CVE-2022-42475 y se trata de un error de desbordamiento de búfer basado en FortiOS sslvpnd. Al momento de producirse esta explotación, la falla permitiría que los usuarios no autenticados bloqueen los dispositivos de manera remota y ejecuten códigos o comandos arbitrarios por medio de solicitudes diseñadas de manera específica.
Productos afectados
- FortiOS version 7.2.0 through 7.2.2
- FortiOS version 7.0.0 through 7.0.8
- FortiOS version 6.4.0 through 6.4.10
- FortiOS version 6.2.0 through 6.2.11
- FortiOS-6K7K version 7.0.0 through 7.0.7
- FortiOS-6K7K version 6.4.0 through 6.4.9
- FortiOS-6K7K version 6.2.0 through 6.2.11
- FortiOS-6K7K version 6.0.0 through 6.0.14
Actualizaciones
Mediante aviso de seguridad FG-IR-22-398, Fortinet ha solicitado a sus clientes actualizar a las siguientes versiones para corregir el error:
- FortiOS versión 7.2.3 or superior
- FortiOS versión 7.0.9 or superior
- FortiOS versión 6.4.11 or superior
- FortiOS versión 6.2.12 or superior
- FortiOS-6K7K versión 7.0.8 or superior
- FortiOS-6K7K versión 6.4.10 or superior
- FortiOS-6K7K versión 6.2.12 or superior
- FortiOS-6K7K versión 6.0.15 or superior
De no se posible realizar la actualización de forma inmediata es recommendable controlar los registros, deshabilitar la funcionalidad VPN-SSL y restringir las conexiones desde direcciones IP específicas.
Indicadores de compromise (IOCs)
- Fortinet encontró una instancia en la que se explotó la vulnerabilidad y se generó las siguientes entradas:
Logdesc=»Application crashed» and msg=»[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“
- Archivos presentes en dispositivos explotados:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
- Direcciones IP:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Para mayor información: