Vulnerabilidad crítica de Fortigate VPN SSL: CVE-2022-42475

Fortinet anuncia una vulnerabilidad critica, cero day, que se explota fácilmente de manera remota comprometiendo el firewall.

Esta falla de seguridad se verifica como CVE-2022-42475 y se trata de un error de desbordamiento de búfer basado en FortiOS sslvpnd. Al momento de producirse esta explotación, la falla permitiría que los usuarios no autenticados bloqueen los dispositivos de manera remota y ejecuten códigos o comandos arbitrarios por medio de solicitudes diseñadas de manera específica.

Productos afectados

• FortiOS version 7.2.0 through 7.2.2
• FortiOS version 7.0.0 through 7.0.8
• FortiOS version 6.4.0 through 6.4.10
• FortiOS version 6.2.0 through 6.2.11
• FortiOS-6K7K version 7.0.0 through 7.0.7
• FortiOS-6K7K version 6.4.0 through 6.4.9
• FortiOS-6K7K version 6.2.0 through 6.2.11
• FortiOS-6K7K version 6.0.0 through 6.0.14

Actualizaciones

Mediante aviso de seguridad FG-IR-22-398, Fortinet ha solicitado a sus clientes actualizar a las siguientes versiones para corregir el error:

• FortiOS versión 7.2.3 or superior
• FortiOS versión 7.0.9 or superior
• FortiOS versión 6.4.11 or superior
• FortiOS versión 6.2.12 or superior
• FortiOS-6K7K versión 7.0.8 or superior
• FortiOS-6K7K versión 6.4.10 or superior
• FortiOS-6K7K versión 6.2.12 or superior
• FortiOS-6K7K versión 6.0.15 or superior

De no se posible realizar la actualización de forma inmediata es recommendable controlar los registros, deshabilitar la funcionalidad VPN-SSL y restringir las conexiones desde direcciones IP específicas.

Indicadores de compromise (IOCs)

• Fortinet encontró una instancia en la que se explotó la vulnerabilidad y se generó las siguientes entradas:

Logdesc=»Application crashed» and msg=»[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“

• Archivos presentes en dispositivos explotados:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

• Direcciones IP:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

Para mayor información:

• https://www.bleepingcomputer.com/news/security/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks/
• https://www.fortiguard.com/psirt/FG-IR-22-398
• https://original-network.com/critical-fortigate-vpn-ssl-vulnerability-cve-2022-42475/