Fortinet opublikował informację o krytycznej podatności CVE-2022-42475 pozwalającej na zdalne wykonanie kodu bez uwierzytelniania w module SSL-VPN (sslvpnd) dla FortiOS. Podatność była aktywnie wykorzystywana w atakach jeszcze zanim jej istnienie zostało ujawnione. Ze względu na charakter podatności, wszystkim administratorom urządzeń Fortinet zalecamy natychmiastowe zastosowanie się do poniższych rekomendacji.
Podatne wersje i rekomendacje aktualizacji
- FortiOS wersje od 7.2.0 do 7.2.2 włącznie
- Należy zaktualizować minimum do wersji 7.2.3
- FortiOS wersje od 7.0.0 do 7.0.8 włącznie
- Należy zaktualizować minimum do wersji 7.0.9
- FortiOS wersje od 6.4.0 do 6.4.10 włącznie
- Należy zaktualizować minimum do wersji 6.4.11
- FortiOS wersje od 6.2.0 do 6.2.11 włącznie
- Należy zaktualizować minimum do wersji 6.2.12
- FortiOS wersje od 6.0.0 do 6.0.15 włącznie
- Należy zaktualizować minimum do wersji 6.0.16
- FortiOS wersje od 5.6.0 do 5.6.14 włącznie
- Należy zaktualizować minimum do wersji 6.0.16
- FortiOS wersje od 5.4.0 do 5.4.13 włącznie
- Należy zaktualizować minimum do wersji 6.0.16
- FortiOS wersje od 5.2.0 do 5.2.15 włącznie
- Należy zaktualizować minimum do wersji 6.0.16
- FortiOS wersje od 5.0.0 do 5.0.14 włącznie
- Należy zaktualizować minimum do wersji 6.0.16
- FortiOS-6K7K wersje od 7.0.0 do 7.0.7 włącznie
- Należy zaktualizować minimum do wersji 7.0.8
- FortiOS-6K7K wersje od 6.4.0 do 6.4.9 włącznie
- Należy zaktualizować minimum do wersji 6.4.10
- FortiOS-6K7K wersje od 6.2.0 do 6.2.11 włącznie
- Należy zaktualizować minimum do wersji 6.2.12
- FortiOS-6K7K wersje od 6.0.0 do 6.0.14 włącznie
- Należy zaktualizować minimum do wersji 6.0.15
- FortiProxy wersje od 7.2.0 do 7.2.1 włącznie
- Należy zaktualizować minimum do wersji 7.2.2
- FortiProxy wersje od 7.0.0 do 7.0.7 włącznie
- Należy zaktualizować minimum do wersji 7.0.8
- FortiProxy wersje od 2.0.0 do 2.0.11 włącznie
- Należy zaktualizować minimum do wersji 2.0.12
- FortiProxy wersje od 1.2.0 do 1.2.13 włącznie
- Należy zaktualizować minimum do wersji 2.0.12
- FortiProxy wersje od 1.1.0 do 1.1.6 włącznie
- Należy zaktualizować minimum do wersji 2.0.12
- FortiProxy wersje od 1.0.0 do 1.0.7 włącznie
- Należy zaktualizować minimum do wersji 2.0.12
W przypadku posiadania urządzenia z podatną wersją oprogramowania, należy zaktualizować FortiOS do wersji łatającej błąd zgodnie z rekomendacjami. Aktualizacja jest dostępna na stronie producenta: https://support.fortinet.com/download/firmwareimages.aspx (wymagany dostęp do portalu klienta). Następnie należy sprawdzić czy podatność nie została już wykorzystana w ataku.
Jeśli aktualizacja nie jest możliwa, należy wyłączyć funkcjonalność VPN-SSL. Zalecane jest obserwowanie logów pod kątem prób wykorzystania podatności.
Niezależnie od podatności rekomendujemy również wdrożenie reguł określających z jakiego kraju mogą być nawiązywane połączenia VPN. W przypadku większości firm powinien być to zbiór stosunkowo prosty do zdefiniowania. Mimo że nie chroni to przed wykorzystaniem błędów oprogramowania, znacząco ogranicza ryzyko i opóźnia atak w przypadku masowych prób eksploitacji, w szczególności w przypadku pojawienia się kolejnych podatności.
Sprawdzenie, czy doszło do ataku
Bezwzględnie zalecamy sprawdzenie, czy doszło do wykorzystania podatności. Znane są przypadki ataków sprzed ujawnienia informacji o podatności. W tym celu należy:
1) Przejrzeć logi pod kątem występowania powtarzających się następujących powiadomień ([...]
może być dowolnym ciągiem znaków):
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
2) Sprawdzić system plików pod kątem ostatnio modyfikowanych plików poleceniami:
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
Szczególnie alarmujące powinno być pojawienie się plików o następujących nazwach:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Obecność któregokolwiek z elementów (powtarzający się wpis w logach lub plik z listy) powinien być podstawą do odłączenia urządzenia od Internetu i przeprowadzenia pełnej analizy.
W przypadku wykrycia oznak ataku zachęcamy do zgłoszenia incydentu pod adresem: https://incydent.cert.pl/