Fortinet SSL-VPN 严重缓冲区溢出0day漏洞正被积极利用 (CVE-2022-42475)
2022年12月12日 KS威胁研究安全公告
本公告由Kudelski安全威胁检测与研究团队的Mark Stueck撰写。
摘要
2022年12月12日,Fortinet披露了其设备SSL VPN守护进程(sslvpnd)中存在一个严重的基于堆的缓冲区溢出漏洞(分配编号CVE-2022-42475),CVSS评分为9.3分,影响FortiOS系统。根据当前可用信息,该漏洞允许未经认证的威胁行为者通过特制请求对目标系统执行任意代码。此外,Fortinet已确认该漏洞已在野外被利用。
由于这些设备设计为直接暴露在互联网上,Kudelski安全强烈建议尽快修补到最新版本的FortiOS以解决该漏洞。此外,组织应利用下面提供的IOC和说明验证可能受影响系统的完整性。
受影响系统和/或应用程序
- FortiOS 版本 7.2.0 至 7.2.2
- FortiOS 版本 7.0.0 至 7.0.8
- FortiOS 版本 6.4.0 至 6.4.10
- FortiOS 版本 6.2.0 至 6.2.11
- FortiOS-6K7K 版本 7.0.0 至 7.0.7
- FortiOS-6K7K 版本 6.4.0 至 6.4.9
- FortiOS-6K7K 版本 6.2.0 至 6.2.11
- FortiOS-6K7K 版本 6.0.0 至 6.0.14
解决方案
| 当前FortiOS版本 | 修复的FortiOS版本 |
|---|---|
| FortiOS 版本 7.2.0 至 7.2.2 | FortiOS 版本 7.2.3 或更高 |
| FortiOS 版本 7.0.0 至 7.0.8 | FortiOS 版本 7.0.9 或更高 |
| FortiOS 版本 6.4.0 至 6.4.10 | FortiOS 版本 6.4.11 或更高 |
| FortiOS 版本 6.2.0 至 6.2.11 | FortiOS 版本 6.2.12 或更高 |
| FortiOS-6K7K 版本 7.0.0 至 7.0.7 | FortiOS-6K7K 版本 7.0.8 或更高 |
| FortiOS-6K7K 版本 6.4.0 至 6.4.9 | FortiOS-6K7K 版本 6.4.10 或更高 |
| FortiOS-6K7K 版本 6.2.0 至 6.2.11 | FortiOS-6K7K 版本 6.2.12 或更高 |
| FortiOS-6K7K 版本 6.0.0 至 6.0.14 | FortiOS-6K7K 版本 6.0.15 或更高 |
临时解决方法和缓解措施
尽快打补丁是推荐的解决方案。但是,在验证、测试和实施补丁之前,如果不需要,请考虑在FortiOS设备上禁用VPN-SSL功能。
检测指南
FortiGuard Labs发布了一些可用于验证可疑活动或可能利用的妥协指标(IOC)。请注意,由于漏洞的主动利用状态,以下部分或全部IOC可能是静态的,因此随着时间的推移,识别可疑活动的效果会降低。
多个日志条目包含:
|
|
注意:上述日志可能表明由于尝试或成功利用而导致的崩溃。
文件系统中存在以下工件:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
注意:组织可以利用diagnose sys last-modified-files命令查看某些文件和文件夹(如"/var")的最后修改时间。
从FortiGate连接到可疑IP地址:
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 192.36.119.61:8443,444
- 172.247.168.153:8033
注意:上述IP地址可能已被已知滥用此漏洞的威胁行为者轮换。这些应用于历史威胁狩猎而非检测。
网络融合中心正在采取的措施
CFC已创建威胁狩猎活动(THR0010319),使用上述IOC和其他技术调查可能受损的Fortinet系统,以识别潜在的未经授权访问和攻击进展。
网络融合中心Fortinet安全设备管理服务的客户也将被联系安排紧急修补会话。
请参阅客户门户以获取有关此次狩猎的更多详细信息。
更新
CFC将通过此博客文章提供有关此漏洞状态的更新,以及额外的信息、详细信息和利用概念验证。
来源
- https://www.fortiguard.com/psirt/FG-IR-22-398
- https://www.securityweek.com/fortinet-ships-emergency-patch-already-exploited-vpn-flaw
- https://www.cisa.gov/uscert/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios
- https://bibstech.live/fortinet-confirms-vpn-vulnerability-exploited-in-the-wild/
- https://www.lemagit.fr/actualites/252528257/VPN-SSL-nouvelle-vulnerabilite-critique-inedite-chez-Fortinet