Upozorňujeme na heap-based buffer overflow zranitelnost známou pod označením CVE-2022-42475 postihující FortiOS SSL-VPN. Její zneužití umožňuje neautentizovaným uživatelům vzdálené shození stroje a spuštění libovolného kódu pomocí zaslání speciálního requestu.
Dle dostupných informací je tato zranitelnost útočníky již aktivně zneužívána. Doporučujeme bezodkladný patch na již opravenou verzi a ověření přítomnosti následujících IoCs (indikátorů kompromitace) ve Vašich systémech:
Záznamy logů jež obsahují:
Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“
Přítomnost následujících artefaktů v adresářích:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Komunikace z FortiGate na následující IPs:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Přehled verzí:
| Zranitelné verze | Opravené verze |
| FortiOS verze 7.2.0 až 7.2.2 | FortiOS verze 7.23 nebo vyšší |
| FortiOS verze 7.0.0 až 7.0.8 | FortiOS verze 7.0.9 nebo vyšší |
| FortiOS verze 6.4.0 až 6.4.10 | FortiOS verze 6.4.11 nebo vyšší |
| FortiOS verze 6.2.0 až 6.2.11 | FortiOS verze 6.2.12 nebo vyšší |
| FortiOS verze 6.0.0 až 6.0.15 | FortiOS verze 6.0.16 nebo vyšší |
| FortiOS verze 5.6.0 až 5.6.14 | N/A |
| FortiOS verze 5.4.0 až 5.4.13 | N/A |
| FortiOS verze 5.2.0 až 5.2.15 | N/A |
| FortiOS verze 5.0.0 až 5.0.14 | N/A |
| FortiOS-6K7K verze 7.0.0 až 7.0.7 | FortiOS-6K7K verze 7.0.8 nebo vyšší |
| FortiOS-6K7K verze 6.4.0 až 6.4.9 | FortiOS-6K7K verze 6.4.10 nebo vyšší |
| FortiOS-6K7K verze 6.2.0 až 6.2.11 | FortiOS-6K7K verze 6.2.12 nebo vyšší |
| FortiOS-6K7K verze 6.0.0 až 6.0.14 | FortiOS-6K7K verze 6.0.15 nebo vyšší |
Oficiální vyjádření vývojářů naleznete zde: https://www.fortiguard.com/psirt/FG-IR-22-398