Torre del Mar 13 de diciembre de 2022
El CCN-CERT, del Centro Criptológico Nacional, avisa de una vulnerabilidad de gravedad crítica de desbordamiento de buffer en FortiOS SSL-VPN que podría permitir a un atacante no autenticado la ejecución remota de código arbitrario o comandos mediante determinadas peticiones. A esta vulnerabilidad se le ha asignado el código CVE-2022-42475.
Actualización de seguridad para vulnerabilidad crítica en Fortinet
vulnerabilidad de desbordamiento de búfer basada en montón [CWE-122] crítica (CVSSv3 9.3) en en FortiOS SSL-VPN puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes específicamente diseñadas”.
FortiGuard Labs ha confirmado al menos una instancia de la vulnerabilidad que se está explotando en la naturaleza e incluyó los indicadores actuales de compromiso (IOC) para que los administradores de FortiOS los utilicen en la revisión de la integridad de los sistemas vulnerables actuales en su aviso.
Las vulnerabilidades de esta naturaleza y en este tipo de sistema han demostrado ser de gran valor para los atacantes. Recomendamos encarecidamente que las organizaciones actualicen a una versión no afectada de FortiOS en caso de emergencia y sigan los consejos de FortiGuard para revisar los sistemas existentes en busca de signos de compromiso.
Recursos afectados
Esta vulnerabilidad de desbordamiento de buffer afecta a FortiOS en las versiones 6.2.0 hasta 6.2.11, 6.4.0 hasta 6.4.10, 7.0.0 hasta 7.0.8 y 7.2.0 hasta 7.2.2 y Fortinet FortiOS-6K7K en las versiones 6.0.0 hasta 6.0.14, 6.2.0 hasta 6.2.11, 6.4.0 hasta 6.4.9 y 7.0.0 hasta 7.0.7.
El fabricante Fortinet ha admitido que esta vulnerabilidad está siendo activamente explotada "in the wild" y recomienda validar los sistemas contra los siguientes indicadores de compromiso:
Múltiples entradas de logs con:
Logdesc="Application crashed" y msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Presencia de los siguientes objetos en el Sistema de archivos:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Conexiones a direcciones IP sospechosas desde FortiGate:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Solución a la vulnerabilidad
Fortinet recomienda encarecidamente actualizar a las siguientes versiones de FortiOS: 7.2.3, 7.0.9, 6.4.11, 6.2.12 o superiores y a las siguientes versiones de FortiOS-6K7K: 7.0.8, 6.4.10, 6.2.12 y 6.0.15 o superiores.
Fuente de la Información
Noticia Relacionada
Alerta Notificacion de vulnerabilidad libTIFF vulnerability CVE-2022-3970