Kritická zranitelnost FortiOS CVE-2022-42475

Upozorňujeme na heap-based buffer overflow zranitelnost známou pod označením CVE-2022-42475 postihující FortiOS SSL-VPN. Její zneužití umožňuje neautentizovaným uživatelům vzdálené shození stroje a spuštění libovolného kódu pomocí zaslání speciálního requestu.

Dle dostupných informací je tato zranitelnost útočníky již aktivně zneužívána. Doporučujeme bezodkladný patch na již opravenou verzi a ověření přítomnosti následujících IoCs (indikátorů kompromitace) ve Vašich systémech:

Záznamy logů jež obsahují:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“

Přítomnost následujících artefaktů v adresářích:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Komunikace z FortiGate na následující IPs:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Přehled verzí:

Zranitelné verzeOpravené verze
FortiOS verze 7.2.0 až 7.2.2FortiOS verze 7.23 nebo vyšší
FortiOS verze 7.0.0 až 7.0.8FortiOS verze 7.0.9 nebo vyšší
FortiOS verze 6.4.0 až 6.4.10FortiOS verze 6.4.11 nebo vyšší
FortiOS verze 6.2.0 až 6.2.11FortiOS verze 6.2.12 nebo vyšší
FortiOS verze 6.0.0 až 6.0.15FortiOS verze 6.0.16 nebo vyšší
FortiOS verze 5.6.0 až 5.6.14N/A
FortiOS verze 5.4.0 až 5.4.13N/A
FortiOS verze 5.2.0 až 5.2.15N/A
FortiOS verze 5.0.0 až 5.0.14N/A
FortiOS-6K7K verze 7.0.0 až 7.0.7FortiOS-6K7K verze 7.0.8 nebo vyšší
FortiOS-6K7K verze 6.4.0 až 6.4.9FortiOS-6K7K verze 6.4.10 nebo vyšší
FortiOS-6K7K verze 6.2.0 až 6.2.11FortiOS-6K7K verze 6.2.12 nebo vyšší
FortiOS-6K7K verze 6.0.0 až 6.0.14FortiOS-6K7K verze 6.0.15 nebo vyšší

Oficiální vyjádření vývojářů naleznete zde: https://www.fortiguard.com/psirt/FG-IR-22-398